Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

шифрованная таблица переходов или прога

........................................
шифрованная таблица переходов или прога
........................................
call Mario555

RideX :: Mario555 пишет:
цитата:
кста как там работает мой патч или нет ?


У меня нет :( Вылазит такое же окно с сообщением (отчётом), как на бряки в SIce: «A critical error occured»

-= ALEX =- :: мде... только пришел щас, а тут такую бадень развели аж на 3 страницы. Ну начнем по-порядку... я сделал инлайн патч, как тут уже многие поняли. Сделать инлайн-патч для аспра никакого труда не составляет, существует несколько способов. Фишка в том, что адреса «апи аспра», назовем их так, лежат примерно в конце секции аспра в зашифрованном виде и CRC по этому участку не проверяется, нам никакого труда не составит, заменить эти пошифрованные адреса на свом, в конце файла... вот весь прицнип. Mario555 я так понял уже сделал то же самое, а может и нет. Я седня или завтра уже сделаю готовый патч. ЗЫ я не думаю, что если Солод исправит этот баг, то пропатчить невозможно будет...

-= ALEX =- :: распаковывать программу я еще пока не готов, это геморно очень я так думаю, да и времени в обрез :( Пока существуют такие «дыры», проще пропатчить и не епать мозги... я надеюсь вам удасться распаковать ее. УДАЧИ !

bit-hack :: Alex, а где достать твой in-line патч(сама прога). По возможности кинь на мыло bit-hack@mail.ru. Зранее спасибо.

Mario555 :: RideX пишет:
цитата:
У меня нет :( Вылазит такое же окно с сообщением (отчётом), как на бряки в SIce: «A critical error occured»


Ну значит адреса не совпадают... найди байт который отвечает за expire/не expire... у меня он был по адр. [00e0de0c].

бара пишет:
цитата:
Поясни:
Mario555:
push ebp
mov ebp, esp
mov eax, [004e731c]
mov [004e7318], eax
mov [004e731c], eax
mov eax, [ebp+0c]
mov [004e7320], eax
pop ebp
mov d, [00e0de0c],0
mov d, [004e72fc],4000bb
retn


Сначала - это аспровая апи, вместо адреса которой я подставил свой адрес. Вообще обычно её можно и не переписывать, но в данном случае есть какая-то проверка.
[00e0de0c] - уже сказал
[004e72fc] - тут хранится адрес строки с именем user’a (если не зарегены, то первый байт имени - 00). Кладем в эту ячейку свой адрес, а по нему пишем имя.

Madness :: ZX
›Патчить их не запатчишь, там полиморф
Аспровый полиморф патчить не надо :)

-= Alex =-
›будущее за патчами :) :)
Вот сижу и думаю, как к старфорсу подступится, блин.

Mario555
›Сделал так, что патчится байты в аресах протектора, и у меня на компе это всё работает, как будет на других - не знаю
Вылетит в лучшем случае. :P

›вон сколько Солод в 1.3 нагородил, а от inline вообще ничего нового не сделал
Проверки целостности ехе + памяти мало?

ЗЫ. Сорьки за ответы по 3-м страницам.

бара :: я думаю, надо сделать проще было Mario555 - сделать лоадер, который при загрузке в цикле бы патчил при загрузке. Тогда бы кросс-платформенность была. А пока видать тока на XP будет работать и выше.
Мог бы помочь попробовать, да прога не представляет интереса.

Mario555 спасибо за разъяснения. Я уже понял - переборол лень и сунулся в OllyDebugger. Тока я не дампил протектор - покрутил там в памяти.
Вопрос - нафига ты патчишь триал период в 2-х местах по 30-кам, если мы типа зарегены. Там же триал не идёт по счётчику ? Или идёт из-за неполного хака ? Экспериментировать в лом - вот и спрашиваю....

ZX :: -= ALEX =-

Приношу извинения, за некоторые посты.

Mario555 :: Madness пишет:
цитата:
Вылетит в лучшем случае. :P


Ну и фиг с ним, главное что у меня работает :P а кому надо, так пусть сами нужный адресок ищут. Ты лучше скажи, как в таком случае корректно месагу обходить (мне то это так - для общего развития, всё равно релизов не делаю, и проги ломаю только из-за самого процесса взлома, ну и результата конечно).

Madness пишет:
цитата:
Проверки целостности ехе + памяти мало?


А это новое ? Что в RC4 не тоже самое ?! :)

бара пишет:
цитата:
Экспериментировать в лом - вот и спрашиваю...


Отвечать - влом, поэтому эксперементируй ;)

PS а вот с распаковкой хрень полнейшая :( Импорт есть, таблица call eax есть, краденые байты тоже есть, те что заменены на FF XXXXXX восстанавливаются правильно (задолбался я с ними, но всё таки приделал «улучшеную» функцию обработки таблиц и сами таблицы к дампу), а всё равно работать не хочет - там всякие гадости, по типу записи в адреса сис. dll и т.п. причём таких вот гадостей до . Ещё и какую-то функцию аспр спёр, и запускает как то так
004086B0 PUSH 0E73240
004086B5 RETN
её конечно можно перекинуть в адреса exe... но не в этой функции и проблема.

Madness :: Mario555
›Ты лучше скажи, как в таком случае корректно месагу обходить
Поковыряйся в call, который перед мессагой идет. ;)

›А это новое ? Что в RC4 не тоже самое ?! :)
Старое, то же самое. Я и спрашиваю, мало этого?

бара
Культура так и прет.

CReg [TSRh] :: ZX пишет:
цитата:
Слушай, если нихрена не разобрался и не понимаешь вообще о чем речь, то не лезь со своими ... советами.


«Нежнее, Виктор, еще нежнее» (c)

ZX
бара
«Ребята, давайте жить дружно»

ZX :: CReg [TSRh]
Больше не буду, ну не сдержался
Пойду лечить нервы...

бара :: Admins:
куда мои посты делись ?

если выкасываете - то ту блевотину этого гм.. товариЩа в мой адрес тоже уберите...

ZX :: бара пишет:
цитата:
Мудрые слова. Каждый в чём-то достиг (даже если и не в реверсинге защит). В прошлом, настоящем
или будущем. Поэтому надо стараться понять другого. P.S. А все наезды в приват, а не на форуме.



Это твои слова? Я не наезжал. Я не приверженец разных там ругачек. Я погорячился и это признал. И убираю свой пост, который тебя так обидел.

ZX :: И вообще, ребят, давайте по теме. В смысле исследований это mario555 описал. По автоматизации - проблемм много. Сделал тулзу, которая восстанавливает импорт через лог ольки, марио описывал как делать лог. Дальше этого пока автоматизация не пошла. У меня автоматом не вяжется таблица SEH-обработчика, с call EAX(с таблицей тож проблеммы). Восстановление спертых байт, звиняйте, для меня пока туго, но выходные впереди. У кого какие идеи давайте высказывайте.

P.S.
И вообще, приятней иметь у себя на диске распакованную прогу, чем протекченную неизвестно кем :)
Хотя, конечно, известно, но это не меняет сути дела.

Mario555 :: Madness пишет:
цитата:
Поковыряйся в call, который перед мессагой идет. ;)


Ну дык это же всё-равно в адресах протектора. Там скорее нужно искать апи аспра, которая за проверку этого триала отвечает. Кста если уж ты сделал патч который будет работать на других компах, то почему бы тебе его не выложить где-нить ?

Madness пишет:
цитата:
Я и спрашиваю, мало этого?


А я и не говорил про мало-много. Просто против распаковки добавилось, а против inline нет.

ZX пишет:
цитата:
Сделал тулзу, которая восстанавливает импорт через лог ольки


и с догрузкой dll проблему решил ?

ZX пишет:
цитата:
По автоматизации


Вручную бы для начала распаковать, а то ведь так и не получилось :( хотя наверно это из-за того, что там ещё и авторы проги постарались...

ZX :: Mario555 пишет:
цитата:
Вручную бы для начала распаковать


Одно другому не мешает, а очень даже должно помогать, ты пробовал тулзу или нет на альфаклоке? С догрузкой решил все нормально подшлефую слегка и тебе кину :)

ZX :: На счет скрипта как?

Mario555 :: ZX пишет:
цитата:
ты пробовал тулзу или нет на альфаклоке?


А смысл ? Я просто посмотрел, что в alfaclock та же Ole32 где-то в 771A0000, а прога грузит её c 00550000.

ZX пишет:
цитата:
На счет скрипта как?


Дык лог бряков то сейчас нет, зачем скрипт делать ? Когда будут, тогда и сделаем.

-= ALEX =- :: вот патчик, который обещал. _http://www.alex2kx.nm.ru/KpT-AlfaClock160.rar вроде бы все пучком работает...

Madness :: Mario555
›Ну дык это же всё-равно в адресах протектора.
Нет. В том же поксоренном блоке поищи ;) Хорошего по-немногу.

›Кста если уж ты сделал патч который будет работать на других компах, то почему бы тебе его не выложить где-нить ?
Не патч, а тулза, облегчающая изучение вышеупомянутого блока.

›Просто против распаковки добавилось, а против inline нет.
Лёхе достаточно добавить пару проверок и се, будут кракед ехе, да отстойные лоадеры. Оно есть, но есть и возможность обхода. Говорят уже старфорс патчат, а тут какой то аспр ;)

-= ALEX =- :: Madness да все равно можно пропатчить хоть что, главное подход правильный...

Mario555 :: Проги с «full» кроме alfaclock кто-нить знает ? Всё-таки я думаю, что в alfaclock проблема со скрытыми проверками, а не с какой-нить там фичей аспра.

Madness пишет:
цитата:
Говорят уже старфорс патчат


А про старфорс много чего говорят... :)

бара :: 4e5087 110723e9
4e510a e9 90
4c47ad 9090
4e842c 005f5760

Метод Алекса не работает - триал он не убирает
так и я взломал первый раз - тоже лоханулся

кто не верит - переведите часы на 2 месяца вперёд

у Mario555 тоже при переводе часов не работает

а у Динамита кряк работает - он вырубил проверку на триал

у них убирается лиш наг и ставится флаг REGISTERED в самой программе

RideX :: бара пишет:
цитата:
Метод Алекса не работает - триал он не убирает


Ага, не убирает...

XoraX :: бара пишет:
цитата:
Метод Алекса не работает - триал он не убирает


ну вот, а он уже прогу зарелизил - kpnemo.ru ;)

-= ALEX =- :: мде.... побежал править :)

бара :: я тут пробовал искать правду, но на меня сразу стали наезжать.... А зря - я ведь хотел как раз предупредить...

-= ALEX =- :: я вроде бы не наезжал ;)

-= ALEX =- :: млин, продолжить что-ль работу над своим in-line patcher’ом...

бара :: Alex, продолжай. Лоадеры это сила... Ты туториал напиши плиз... А то интересно...

бара :: инлайн патчи тоже рулез, ты вот усовершенствуй патч Mario555 - там чуток доработать осталось. У тебя сложнее вышло чуток.

-= ALEX =- :: хех, мысля щас одна в бошку стукнула... побежал в отладчик

-= ALEX =- :: вот профиксил.... http://www.alex2kx.nm.ru/KpT-AlfaClock160fix.rar

RideX :: -= ALEX =-
Теперь всё работает :)
Действительно, может снова займёшься своим патчером? В тяжёлых случаях может быть очень и очень полезен :) Ну а в сравнении по размеру с распакованным .ехе, вообще... слов нет ;)

бара ::
mov eax, [esp]
sub eax, 560f
mov [eax] , e990

а в явном виде что за адрес и что там лежит ? туторал написал бы хоть....

напиши как в своих патчерах музыку сделал - на асме или нет проигрываешь .xm и исходник можно где скачать аль нет...

-= ALEX =- :: ну начнем по-порядку. Данный инлайн-патч (кусок кода в аспре :) ) был написан руками, никаких тулз не юзал. Насчет

mov eax, [esp]
sub eax, 560f
mov [eax] , e990

Я бы посоветывал пройтись пешком по всему аспру до самого OEP, много подчерпнуть много интересного. Это я еще делал когда делал тулзу ASProtect In-line Patcher. Дак вот, адреса «апи» вызвает сам аспр, после «апи» которую я заюзал под свою (GetTrial называеться) идем пешком по коду аспра, и находим заветное место, где стоят несколько подряд условных переходов (код приводить не буду, влом в сайс идти), этот код еще с давних времен я помню так же выглядит. правим первый переход на безусловный (90E9h) и месаги больше не будет... ну адреса аспра у нас ведь динамические, поэтому через стэк получаем адрес call’a, который вызывал нашу «апи», вычитаем 560f и получаем адрес того переходника, которого надо исправить на безусловный. Вот впринципе весь фикс...
Насчет простого патча, т.е. exe’шки моей... написал еще давно на асме, xm через minifmod. ниче сложного нет сделать... замечу это не тулза, это простой кряк.

-= ALEX =- :: RideX насчет продолжения написания того моего патчера, я пока не знаю, у меня времени нет совсем, школу заканчиваю :) экзамены и т.д. :(

бара :: понятно
ну ты и запаковал патч свой UPX-ом - все метки удалил - еле распаковался у меня
Действительно на асме. Я музыку также проигрываю - через эту либу. Думал ещё какой способ есть. А то у меня в tASM’е эта библиотека не инклюдится - написана под масм она потому что - приходится извращаться

Насчёт инлайн патчера - тулза что-ли есть у тебя ? линк дай где скачать можно.
PS
что мессаги не будет это я уже понял. Ну ты и наворотил

Интересно, как там Марио - будет исправлять свой патч или не смогёт ?

Mario555 :: бара пишет:
цитата:
Интересно, как там Марио - будет исправлять свой патч или не смогёт ?


Вопрос поставлен малость неправильно :) Смочь-то смогу, только делать не буду... смысла нет... просто в моём патче я использовал адрес из протектора, поэтому работает он только у меня ;) если вместо этого получать адрес по смешению (как сделал -= ALEX =- ) то будет работать везде.

ZX :: Mario555
Ну как, тулза пашет?

Mario555 :: ZX пишет:
цитата:
Ну как, тулза пашет?


Да!
Кста я заметил, что в 1.3 есть два способа создания импорта
1) с созданием Iat
2) без Iat (AlfaClock, GetPix)
Вот если бы научится переключать аспр, на способ1...

ZX :: Mario555 пишет:
цитата:
1) с созданием Iat


Это ты где такое углядел?
Да импорт, как ты говорил, халява и так, в 1.3 других заморочек хватает. :) А это делает его интересным объектом исследований.

Прохожий :: Mario555
Переключить не сложно, только call-ы и джампы на импорт уже похеренные пакуются, так что толку чуть.

Mario555 :: Прохожий
Ну значит таким образом не получится :) Зато есть ещё два способа (может и больше, но я знаю только два).






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS