Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

Serg Arma v3.x Hi!


Serg Arma v3.x Hi!

Люди, ищу программы, защищенные Armadillo’ой v3.x, т.е. самой последней.
У кого есть ссылки (на проги желательно с использованием наномитов и CopyMem), или может сама Arm’а :) шлите plz на sergidan(at)yandex.ru ! ну или постите здесь, если модеры не против. Буду писать распаковщик.

br, Serg
UnKnOwN :: Serg пишет:
цитата:
или может сама Arm’а :)


http://siliconrealms.com/download/Armd360.exe
Вот тебе самая прямая ссылка на последнюю Арму, и пусть прибудет с тобой великий дух КРЯКЕРА


Успехов тебе в этом недёгком труде

Serg ::
цитата:
http://siliconrealms.com/download/Armd360.exe
Вот тебе самая прямая ссылка на последнюю Арму, и пусть прибудет с тобой великий дух КРЯКЕРА


Ого! сейчас посмотрю. Пара вопросов - это наверняка demo? наномиты/скрытые функции включаются серийником?

цитата:
Успехов тебе в этом недёгком труде


Спасибо!

br, Serg

MozgC [TSRh] :: Serg пишет:
цитата:
Буду писать распаковщик.


=)))))))))))

Serg пишет:
цитата:
наномиты/скрытые функции включаются серийником?


Наврятли. Во всех предыдущих версиях не включались ведь.

odIsZaPc :: Serg пишет:
цитата:
Буду писать распаковщик.


LOL. Самый крутой что-ли? =) Ставлю стольник, что не получиться нихрена... Хотя кто тебя знает...

Serg :: Hi!

2Всем сомневающимся: на самом деле ничего трудного там нет - кроме наномитов, естесно.
Как мне кажется, я нашел способ их восстановить, без разбора таблиц соответствий. Через неделю
все станет ясно. Через месяц будет первый релиз :))

br, Serg

-= ALEX =- :: odIsZaPc деньги мне переводить будешь.... :)

odIsZaPc :: -= ALEX =-
Процент хочешь? =)

Kerghan :: odIsZaPc
а ты сомневаешься?

odIsZaPc :: Kerghan
На счет Армы ДА.

Kerghan :: арма не так сложна, как о ней думают _некоторые_
арма старых версий(до 3-ей) вообще распаковывается элементарно, а без CopyMEM вовсе не сложнее upx’а ;)
хотя насчет распаковщика я тоже не особо уверен, хотя кто знает...

ЗЫ либо у меня что-то со зрением %-\ , либо ты вопрос поменял, там вроде было типа »-=Alex, а ты че тоже самый крутой=-»

MozgC [TSRh] :: Только на практике попадаются армы версии 3.хх с CopyMem и наномитами =)

UnKnOwN :: Народ не надо грузить Serg , что мол он не сможет написать роспаковщик, а вдруг.....

Скоро увидим, когда появится первый релиз, тогда и узнаем кто сколько кому должон ...

Serg :: Hi!

цитата:
Народ не надо грузить Serg, что мол он не сможет написать роспаковщик, а вдруг.....


Да, не надо его грузить ! Лучше бы помогли теорией, или проблемами, которые могут возникнуть
при распаковке. Не касаясь наномитов и CopyMem - какие способы там реализованы для поиска
дебагера и IceDump’а ? Не хочется, чтобы распаковщик только в w2k/xp работал :(

br, Serg

XoraX :: имхо, это не так принципаильно. если он будет работать *хотя бы* в 2к, это уже огромный шаг вперед.

Serg :: Hi!

Кстати, кто-нибудь знает ответ на такой вопрос: почему в качестве наномитов были
использованы переходы? усл./безусл./call’ы/jmp’ы ?? Разве не логичнее заменять
обычные команды, типа mov eax, [edx] - ведь гораздо труднее проследить логику
обработки таких команд, а не переходов. Взять хотя бы jmp d,[eax*4+8]
Эмулятор инструкций, Pcode раз в 100 сложнее разобрать, тем более его проще
модифицировать.
ПОЧЕМУ, a ??

ps. Кто-нибудь разбирал v3.x? как можно обойти проверки на SIce/IceDump в w98 ?

br, Serg

Kerghan :: Serg

цитата:
Кто-нибудь разбирал v3.x? как можно обойти проверки на SIce/IceDump в w98


тебе именно на сайс или на отладку вообще?

seeQ :: Serg пишет:
цитата:
Люди, ищу программы, защищенные Armadillo’ой v3.x, т.е. самой последней.


Здесь точно такой же топик:
http://www.exetools.com/f...read.php?s=&threadid=2867

-= ALEX =- :: odIsZaPc во блин извращенец, как извратнулся... нахрена меняешь ответ свой ?

Serg ::
цитата:
тебе именно на сайс или на отладку вообще


Ээээ.. ну, мне бы узнать как arm’а ловит сайс под w98 - сам то дойду, но
если знаешь - то с радостью выслушаю!

br, Serg

Kerghan :: короче расскажу как в Olly делать,имхо в сайсе проблем не должно быть
до третьей версии: нужно поставить бряк IsDebuggerPresent. После прохождения Call IsDebuggerPresent нужно поставить значение eax в 0, вместо единицы.

третья и выше: бряк на IsDebuggerPresent, когда брякнемся видим примерно такой код:
MOV EAX, DWORD PTR FS:[18]
MOV EAX, DWORD PTR [EAX+30]
MOVZX EAX, BYTE PTR [EAX+2]
RETN

проходим по F8 до MOVZX...
в eax будет значение примерно 7FFDF000 (мне встречалось только такое, но может быть и другое), жмем «Follow in Dump» и по адресу 7FFDF002 меняем единицу на ноль.

odIsZaPc :: -= ALEX =-
Я не извращенец, я пока учусь...

Serg :: Kerghan пишет:
цитата:
короче расскажу как в Olly делать,имхо в сайсе проблем не должно быть
до третьей версии: нужно поставить бряк IsDebuggerPresent. После прохождения Call IsDebuggerPresent нужно поставить значение eax в 0, вместо единицы.
...
и по адресу 7FFDF002 меняем единицу на ноль.


IsDebuggerPresent работает в nt/xp/2000, в w98 он не найдет sice, а только ring3 дебагер, наподобие olly, ну или
любой другой, создающий процесс с дебажными привилегиями.
Arm’а любой версии, включая последние версии ищет в w98 sice таким образом: сначала ’официальные’ (с выводом сообщения) проверки CreateFileA (\\.\SICE, NTICE, SWVID и т.д. - дрывера отладчика), а дальше, если не нашел юзает int 68 - который я и не мог поначалу найти :( IceDump бы прикрыл это, но я сделал проще - чтобы не искать место
вызова int 68, можно взять FrogIce (который arm’а тоже находит) и запустить его через 3-5 сек. после запуска проги %))
Arm сначала проверяет наличие FrogIce, затем IceDump, затем оффициальный Sice, затем неоффициальный (int 68).
Вуаля - все работает. Может позже найду код, как она чекает IceDump/FrogIce - наверняка чекрез IDT.

br, Serg

-= ALEX =- :: Serg желаю успехов ;)






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS