Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

smallcracker регистрация AquaMark3 у кого есть идеи как зарегерить AquaMark3


smallcracker регистрация AquaMark3 у кого есть идеи как зарегерить AquaMark3 ,она запакована SVKP 1.3x -› Pavol Cerven-чем распаковать
WELL :: smallcracker пишет:
цитата:
чем распаковать


Руками, т.е. циклить дампить и т.д. и т.п....

Madness :: smallcracker
1) не плоди дубли тем;
2) есть cracked exe;
3) есть серийник.
ЗЫ. Или все-таки процесс важен?




-=atol=- как попасть на wasm.ru Что случилось в васмом?


-=atol=- как попасть на wasm.ru Что случилось в васмом?
Я уже 4 день немогу туда зайти. В темах проскакивало, что он то робатает то нет. Если кто знает в какое время работаем скажите
Ромка :: Я туда только через русский прокси попадаю, не иначе как.
Если хочешь, кидай мыло, сброшу прокси.

-=atol=- :: Вот atol@newmail.ru

Гость :: Я сегодня часа два назад заходил туда и кое-что скачивал - работало нормально

KLAUS :: Незнаю как у вас, а у нас нельзя на wasm зайти через некоторых провов.....а так щас он работает нормально!

fuck it :: юзайте 216.157.225.231:8640

WELL :: Там вроде на буржуйские проксы облом

-=atol=- :: Все отлично работает. Спасибо fuck it

[ChG]EliTe :: А я вот хоть и сижу через одного и того же прова все равно то захожу то нет хотя раньше все ОК было...
Может с маршрутизацией траблы? А где wasm хоститься ? страна всмысле

DiveSlip :: fuck it , спавибо, у меня теперь тоже васм грузится нормально




Python


Python_Max Странный UPX Сабж состоит в том, что PEiD и ему подобные показывают, что подопытная прога запакована UPX (а конкретнее «UPX 0.89.6 - 1.02 / 1.05 - 1.24 -› Markus & Laszlo»), но в то же время ни сам UPX ни другой unpacker, который может его распаковать, этого сделать не могут и говорят, что UPX’a там и близко нет.
Распаковать смог только ProcDump, но дизасмится распакованный вариант не хочет, а ResourceHacker говорит, что ресурсы нестандартные либо запакованы, хотя тот же PEiD после десяти секунд сканирования (долго однако) говорит, что Borland Delphi 3.0

Че делать-то? Хочу увидеть код программы...

ЗЫ: руками распаковать пробовал - после распаковки по аналогии с туторами дамп не запускается. Но посмотрел я в PE Editor’e тот дамп, который распаковал ProcDump, - он добавил туда еще одну секцию idata. Возможно поэтому его (процдампа) дамп запускается нормально, но, как уже сказал - не дизасмится (конца работы W32Dasm я не дождался).
XoraX :: анализаторы и обмануть можно... покажи файл

Python_Max :: http://www.hotrex.com/soko_pro.exe

Т.е. это инсталяха. А файл - главный exe-шник.

Вот блин, кажись я его даже не оттудова качал :/
Хотя размер сходится, это тот же файл.

WELL :: Лучше распаковывать руками, так надежнее.
Попробуй по такой схеме:
1) Ищешь OEP руками
2) Циклишь прогу (лучше в OllyDbg) на OEP’е
3) Дампишь (лучше с помощью LordPE)
4) Таблицу импорта восстанавливать попробуй ImpRec’ом и Revirgin,
т.к. бывает ImpRec восстанавливает криво (да и Revirgin бывает тоже).
В принципе такая схема обычно подходит для всех простых пакеров (типа ASPack, UPX).

Bob :: Python_Max
Ручками распаковывается все без проблем...
OEP 45e8b0
действу как сказал WELL

Python_Max :: WELL
Thx, я так все и делал, кроме восстановления таблицы импорта.

Bob
OEP я нашел первым делом.

Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/

Выбираю процесс (нераспакованный), ввожу OEP, а ImpREC говорит «Invalid OEP! It does not match in the process memory». А запускаю дамп и получаю - «Ошибка при инициализации приложения...». В самом дампе EP поставил равным OEP-ImageBase.

Что я делаю неправильно?
Может там (в ImpREC) рядом с OEP нужно еще ввести RVA и Size?
А как их узнать?

WELL :: Python_Max
Попробуй Revirgin http://wasm.ru/tools/6/revirgin.zip

Runtime_err0r :: Python_Max
Распакуй этим: _http://www.zone.ee/Runtime_err0r/upx.exe

-=atol=- :: Python_Max пишет:
цитата:
Похоже что мой дамп не запускается потому, что я не юмею юзать ImpREC :/


Юзай 1.6. У меня 1.4.2+ точно такое - же сообщение написал «Invalid OEP! It does not match in the process memory»

KLAUS :: «Invalid OEP! It does not match in the process memory»

Чтоб небыло ошибки нужно правильно указать RVA (если искать автоматом, то будут ошибки), запускай какой-нить Hex редактор (Hex Workshop - например), и в DUMP’e ищи такие (F3) - 1677F7BF, у меня выдался 100110 ( у тебя будет другой), в поле RVA вводи -100000, и в Imprec жми GetImport, потом удаляй всё где стоит NO (Delete Thunks)..и жми FIX DUMP.....и опля ВСЁ РАБОТАЕТ!!!

KLAUS :: Да , кстати там точка входа, это обманка типа jmp наделали на реальную точку...поэтому PEID так долго думает

-=atol=- :: OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

WELL :: KLAUS
А там вообще UPX ?

-=atol=- :: Имеется три секции:
V}«0 -1
^?91 -2
.rsrc -3

WELL :: А модифицироваными упсами с васма пробовали распаковывать ?
У меня был косяк с распаковкой упса со скрамберами, там ImpRec 1.6 не справился, а Revirgin помог.

KLAUS :: Да там балда была...UPX’ом зажата!

KLAUS :: Ну а сам их защищал, и потом распаковывал.....по идеи просто делаеш PE_rebuild и всё.
Ну меня ещё Imprec неразу не подводил...посмотрим что дальше будет!

Python_Max :: -=atol=-
› OEP=5E8B0 в ImpRec v1.6 всю таблицу импорта сам находит

А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?

Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.
Ради любопытства зациклил прогу и сделал два дампа: один с помощью LordPE, другой - с помошью PE Tools. И проделал те же действия для обоих. В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось (к слову, у дампа LordPE даже не отображалась иконка).
Можно считать, что прога распакована, но редактор ресурсов продолжает гнать все тот же бред: »...it probably been compressed with an EXE compressor».
Это как понимать?

W32Dasm тихо умирает, а вот IDA хоть и предупреждает о том, что таблица импорта повреждена, но дизассемблирует довольно быстро (две минуты), хотя не могу сказать насколько правильно...

А к чему было сообщение о том, что там три секции?

Runtime_err0r
Из-за смайлика боюсь даже качать :)
Тем более я сказал, что UnPacker’ы его не берут. Или этот особенный?

Python_Max :: Хе! В опциях LordPE нужно было две птицы поставить!
Теперь таблица импорта восстанавливается нормально.

Runtime_err0r :: Python_Max
Этот особенный А вообще распаковывать UPX руками - это извращение, читай статью:
http://www.wasm.ru/article.php?article=packers2#8

-=atol=- :: Python_Max пишет:
цитата:
А почему же не 45E8B0? Ведь это OEP. А 5E8B0 - это EP для дампа! Или нет?


Да 5E8B0 это EP для дампа, а 45E8B0 это EOP для запакованной проги.Python_Max пишет:

цитата:
Действительно, так все находит, но по кнопке FixDump получаю то же сообщение.


Незнаю у меня все нормально.
Python_Max пишет:
цитата:
В случае с дампом LordPE получил знакомый Error, а вот с дампом от PE Tools все получилось


И Lord_PE и Pe-Tools оба дампа получались рабочии.

KLAUS :: А мне вот вообще интерестно, вы вообще пробывали распаковать прогу самим UPX, предварительно в HIEW подправить секции!!

KLAUS :: Короче OEP -0005E8B0 !! Эт 100%
Заменяй секции на UPX0, UPX1 - и разпаковывай самим UPX, без всяких проблем, без всяких дампов..реальный файл занимает 1628

Python_Max :: В смысле имена секций???

KLAUS :: Короче в HIew, нажимаешь F9, выбераешь свой файл, затем F8›F6›F3›F3 и набираешь UPX0. затем Enter›F9 , стускаешься на вторую секцию и тоже самое только UPX1. Всё сохраняешь фаел, запускаешь UPX -d ...прога распакована




AnteC трабл с IDA PRO 4.3 Подскажите плиз


AnteC трабл с IDA PRO 4.3 Подскажите плиз
юзаю IDA Pro 4.30 но при попытке загрузить файл получаю - Can’t create file ’D:\DOCUME~1\ANTEC\LOCALS~1\Temp\ida72589.tmp’:No such file or directory
Явно проблема в пути но как тогда изменить путь к Temp’у?
-=atol=- :: Заходиш в св-ва системы на вкладку дополнительно/параметры среды ну и меняеш по вкусу

KLAUS :: У тебя проблемы не в пути . Он не может создать этот файл в Temp, а связано это с отсутствием файла в самой директории IDA!! (переустанови)!

WELL :: AnteC

В свойствах Моего компьютера зайди в переменные среды и установи пути Temp и Tmp
типа C:\Windows\Temp
То есть чтоб не было длинных имен

AnteC :: !Спасибо! помогло
Best regard AnteC




ANXIETY Общие рекомендации по взлому аудио plugin’s Если кто ломал плуги для


ANXIETY Общие рекомендации по взлому аудио plugin’s Если кто ломал плуги для соунд форжа или сонара скажите ---

1 какие методы защиты
2 обычно исчезает через опр периоды звук в демо версиях (как устранить)

часто встречаю в иде что-то вроди ???YAPAXIZ.operator new unit
точно не знаю как пишется что это за батва?

спасибо всем кто ответил!

HAVE A NICE DAY!!
ANXIETY :: вот например в DSOUN в плуге исчезает звук каждые 20 сек

как найти такое место?

НАГ окон нет!




Bad


Bad_guy Были удалены ссылки на аватары Были удалены ссылки на аватары. Причина - ошибка 404

http://www.unknown-ua.nm.ru/av/UnkAv.GIF
http://forumcrl.nm.ru/avators/GL00M.gif
http://forumcrl.nm.ru/avators/PalR.gif
http://forumcrl.nm.ru/avators/Runtime_err0r.gif
http://forumcrl.nm.ru/avators/MoonShiner.JPG
http://forumcrl.nm.ru/avators/Dred.jpg

Если вы нашли среди них ссылку на свой аватар, закачайте его куда-нибудь. И разместите снова.
GL#0M :: Bad_guy пишет:
цитата:
Были удалены ссылки на аватары. Причина - ошибка 404

.....
http://forumcrl.nm.ru/avators/GL00M.gif
....



Oh, No!!!

Dred :: Выкинь ссылку мне не куда закачивать

odIsZaPc :: Ну засылайте мне на мыло, размещу, благо есть где

odIsZaPc :: Bad_guy
Я там подправил наш будущий кряклаб, заходи проверяй, косяки поправил... Адрес ты знаешь...




FEUERRADER SecurityDLL crackme Может кому-то моя идея не понрваится, но я...


FEUERRADER SecurityDLL crackme Может кому-то моя идея не понрваится, но я сделал крякмис на основе CRACKL@B CRACKME #3 by Bad_Guy. Выполнен попроще.
Нужен только пароль, который расшифровывает DLL и запускает ее.

Т.к. шифровать картинку не интересно, то DLL весьма кстати. И не правда, что фактически защита не может использоваться программерами. Напротив, этот мой крякми реально это показывает. Также в архиве - исходники крякми. Но, они вряд ли помогут.
Дерзайте, кто хочет!

P.S. Хотелось бы узнать, уровень крякми. Насколько надежна защита с шифованным DLL.

http://feuerrader.nm.ru/SecDLL.rar
fuck it :: собственна это адин хер что и запароленный архив, никакого тут крак ми нету.

Nitrogen :: 3.14здец. ну че за х..ня?.. ну в каком месте это крякми?.. это ~ чушь полная

Dragon :: Ну что дальше, если DLL? Там можно пользоваться вскрытием с выбранным открытым текстом, т.е. сигнатуры MZ, всякие там cannot be run in dos mode, но только если криптоалгоритм слабый, вроде blowfish к таким не относиться, не слышал ничего про его вскрытие. Ну какой смысл было всё это делать?

-= ALEX =- :: со всеми согласен, смысла ваще никакого. FEUERRADER извини конечно, но ты зря время потратил ... хотя чего там тратить

odIsZaPc :: Имеет ли вообще смысл такая защита??? Да, она ломается только перебором, это плюс... Но на сколько я понимаю пароль всего один... ну пофиг... Но не проще ли сделать демоверсию а потом просто раздавать пароли на скачку? У кажого юзера будет свой пароль и все пучком. А «демо_версия» = «неактивизированная_с_пошифрованной_длл» :) Вроде так проще... Но защита имеет право на существование...

FEUERRADER :: Смысл прост: если программер засунет в DLL процедуры, доступные только зарегенным юзерам и подобным образом зашифрует ее, то эту защиту сломать кроме как карженьем неполучится. А что Вы злитесь? «это даже не крэк ми...» Почему такая защита не имеет право на существование в крэкми?
Короче, закроем тему. Понятно всё.

-= ALEX =- :: FEUERRADER ты думаешь ты защиту придумал ? это давно уже юзается... да и причем тут dll, взял просто свой код пошифровал и все, без ключа не будет выполняться.... а кстати вспомнил, помниться в nfomaker’e твоем тоже dll’ка была :)

fuck it :: Епт, Dragon тему говорит, это очевидно
сматрите у нас есть исходная строчка, есть алгоритм шифрования и результат, осталось только подобрать ключ. Вроде реально

FEUERRADER скинь тока еще эту компаненту позырыть чё там вааще :)




FEUERRADER Где найти AsprDbg 1.06 На woodmann.net видел сообщения, что вышел


FEUERRADER Где найти AsprDbg 1.06 На woodmann.net видел сообщения, что вышел AsprDbg 1.06.
Ссылка там битая. Мож у кого есть?
nice :: FEUERRADER
Залил ;)
http://hice.antosha.ru/AsprDbgr_build_106.zip

GL#0M :: nice

может ещё раз... зальёшь?

Sh[AHTeam] ::

GL#0M пишет:
цитата:
может ещё раз... зальёшь?


Я могу замылить, скажи только куда...

-=atol=- :: Вот atol.newmail.ru/AsprDbgr_build_106.zip

GL#0M :: -=atol=-

Спасиб.

Гость :: Спасибо за ссылочку




DOLTON Проблемка с редиректом... Привет всем!


DOLTON Проблемка с редиректом... Привет всем!
Сделал недавно редирект на свой сайт с www.tk.
Всё работает, всё прекрасно, но есть одно но - всплывает pop-up вверху страницы.
Ладно у меня в Opere стоит приём только требуемых всплывающих окон... но каково остальным...
Вопрос в том, что на www.cracklab.tk нет такого pop-up’a
Может я при регистрации намутил чего-нибудь с «Ambassador Coupon Number»?
odIsZaPc :: А это кто сделал этот самый www.cracklab.tk? Какой смысл?

DOLTON :: odIsZaPc пишет:
цитата:
Какой смысл?


Ну типа, если сайт прикроют - просто в редиректе меняешь ссылку на новый url сайта , и всё...
Очень удобно по-моему.

odIsZaPc :: Ну типа если сайт реально прикроют, то куда ты редирект будешь делать??? На microsoft.com что-ли? :) Кстати, будущий http://cracklab.ru уже готов процентов на 90 и скоро будет залит на хостинг.

-= ALEX =- :: odIsZaPc пишет:
цитата:
Кстати, будущий http://cracklab.ru уже готов процентов на 90 и скоро будет залит на хостинг


КРУТО !!!! odIsZaPc молоток !!!!




Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот


Gloomy Xtreme-Protector кто-нибудь изучал? Нашел на wasm’e тему про этот протектор - похоже его еще никто не ломал, а лицензионный файл в выложенной на сайте полной версии просто cп@женный (сорри если я ошибся). Решил испытать протектор в деле, подсунул ей свою программу весом в 183 Кб, да еще сдуру поставил в настройках защиты все по максимуму - в результате через час получил файл размером 5,78 Мб (!) который при запуске грузит мой бедный Celeron 1100 на все 100% секунд на 10. Что этот протектор туда накатал аж на 5 мегов?! Что это вообще за зверюга такая? Был на официальном сайте - там его конечно расхваливают на все лады - хотелось бы услышать мнение людей которые его изучали.
Кто-нибудь пробовал его снимать? Как успехи?
Runtime_err0r :: Я ломал Feuer’s NFO File Maker v2.2 - PEiD говорит:
Xtreme-Protector 1.00 - 1.05 -› Rafael Ahucha & Sergio Lara
хотя может и не он ... может, автор подскажет ?

+Spark :: Да ну его к чертовой матери...кому он такой нужен? 183 Кб ---› 5,78 Мб да еще через час? этож мазохизм какой-то...засмеют =)

volodya :: а лицензионный файл в выложенной на сайте полной версии просто cп@женный

Как это понимать?

Madness :: Runtime_err0r
Говорил же - то было не оно.

volodya
Он имел ввиду скарденный.

MoonShiner :: У меня по странному делу этот протектор при установке некоторых параметров защиты ребутит систему нахрен... А о количестве создаваемых тредов при запуске защищенной проги лучше умолчу:)

Gloomy :: Runtime_err0r
У меня более новая версия 1.07 - интересно изменилось ли в ней что-нибудь?

+Spark
›› 183 Кб ---› 5,78 Мб да еще через час?
То что долго так и подождать можно, а вот такой размер никак не катит, тем более что потом ничем не сжимается, даже RARом

volodya
›› Как это понимать?
Извини, не знал как правильно сказать Я имел в виду «скопированный у зарегистрированного юзера».

MoonShiner
›› ребутит систему нахрен...
the_laser тут пишет что вообще не может снять протектор - постоянные ребуты.

И все-таки кто-нибудь снимал этот протектор версии 1.07? Или это еще один плохо распаковываемый протектор типа Obsidium? Статью про Obsidium видел только у Hex’a и еще в паре мест в Инете.

-= ALEX =- :: я вот как раз недавно его попробывал, ребутит систему по страшному, изучать не стал, задолбало :( насчет большого размера, это можно выбрать, он строит большущий полиморфный код с мусором. А вообще мое мнение, что это полный изврат, уж слишком долго прога загружается...

FEUERRADER :: Runtime_err0r
А ты веришь PEiD? :)

MozgC [TSRh] :: Runtime_err0r
Ты же должен был помнить что FEUERRADER делал прогу для подмены сигнатур =)

-= ALEX =-
Ну не так уж и долго загружается, время 166 MMX прошло уже =) В любом случае, изврат не изврат, а ты сломай =)))

-= ALEX =- :: MozgC [TSRh] да все равно на моем athlon xp 2000 это заметно на глаз :) да и зачем паковать, вернее защищать, таким протеткором большие проги

MozgC [TSRh] :: На моем Athlon XP 2200+ тоже заметно но оно того стоит. 1-2 секунды погоды не сделают, а автора от крэков избавят.

Gloomy :: Цитата с wasm.ru:
цитата:
Пакер представляет собой драйвер. Т.е. кольцо-0. Человек, его писавший, маленько поехал на антиотладке, поэтому, если хотите экспериментировать, быть может, имеет смысл завести виртуальную машину для таких экспериментов, т.к. чуть что не так - и ребут.


Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо? Сколько видел примеров без использования отдельного файла драйвера - ни один не работал Если кто займется изучать этот криптор советую почитать интересную статью про то как вырубается Винда.

З.Ы. Решил сам поковырять пакер - только запустил отладчик и сразу ребут, причем насколько мощный что комп стал нормально работать только после выключения и включения питания системного блока

MoonShiner :: Gloomy пишет:
цитата:
Самое интересное как он умудряется под работающей Виндой выйти на 0-е кольцо?


Xprotect.sys ;)

Dragon :: Не Xprotect.sys, а Xprotector.sys.

MoonShiner :: Да, да, описался:) главное смысл ясен...

test :: Gloomy пишет:
цитата:
советую почитать интересную статью про то как вырубается Винда.


в этой статье не упоминается функция «RtlDllShutdownInProgress»,а в xtream она и используется.

.::D.e.M.o.N.i.X::. :: Dragon пишет:
цитата:
Не Xprotect.sys, а Xprotector.sys.


Ну и не стоит забывать и про Xprotector.vxd под под win9x :) А вообще я знаю 3 человека, которые его сняли и долго не мучались (жаль я к ним не отношусь, но распаковка не моя стихия:)

-= ALEX =- :: а как тогда сделать так, чтобы не ребутилась система ?

бара :: Приветствую друзей из Alien Hack Team.....

Меня вот интересует, друзья мои, как сей протектор (точнее его VxD) отучить от вырубания открытия защищённого им процесса.

я статью перед атакой успел перенести на www.team-x.ru в раздел реверсинга.

Dragon мне подсказал дельные ходы. Но я вот на асме хотел бы увидеть алгоритм инъёкции ибо в C++ не волоку вовсе. А у меня метода имеется в виде рабочего исходника, написанная на VC++ 7.0 как раз - там только патчер писануть осталось в саму DLL. А так байда рабочая - проверял....

бара :: размер всегда более метра - это да из защищённых файлов протектор плодит

Gloomy :: .::D.e.M.o.N.i.X::.
›› вообще я знаю 3 человека
А нельзя ли попросить кого-нибудь из этих трех человек написать хотя бы маленький тутор, можно даже на английском оставить (если они по-русски не спикают) и в стиле «меняем тут байт 75 на EB»? Очень уж криптор любопытный...

бара :: ну ты смешной.... меняем 75 на EB
там до 50 циклов криптовки
думаешь почему он грузится так долго

тут DZA patcher нужен
и то если успеешь до загрузки VxD пропатчить или придётся свой VxD писать

у меня трезвая идея - инжектор - это будет проще
так как там защита от OpenProcess и сканят постоянно процедуры внутренние
мой инжектор выкинуло сразу как только я в процесс вошёл
но в процесс вошёл - это первая маленькая победа...

Gloomy :: бара
›› ну ты смешной.... меняем 75 на EB
Я имел в виду тип статьи. Как известно статьи делятся на 2 основных типа:
1) Очень подробные, с отступлениями и пояснениями (например by MozgC [TSRh]);
2) Сухие и краткие, в которых дается только инструкции какой байт на какой нужно заменить и никаких объяснений почему именно так а не иначе (например by Hex, no offens);
Я имел в виду что сойдет любая статья - главное чтобы была какая-то точка опоры

›› загрузки VxD
Сорри за тупизну, но где находится этот vxd (и sys)? Нигде найти не могу - ни во время работы защищенной программы ни во время работы самого криптора

бара :: он в самом теле зашит защищённой программы. И запускается оттуда. Короче этот драфвер всё дело и поганит...
а найти его ты как хотел ? Ты видал как дрова работали с VxD под SiftIce - ты их в Task Manager там видел хочешь сказать ?

Dragon :: Драйвер находиться в каталоге %SystemRoot%\System32\drivers. Его в первую очередь надо полностью раскопать, т.к. вся основная защита в нём.

бара :: я видел треды какие-то к основному процессу - дальше не копал
увидел в теле защищённой программы VxD - там тоже защита.
короче полный эскорт вырисовывается

ты хоть укажи все имена - я посмотрю... а то там знаешь в этой папке у меня сколько етих дров...

Dragon :: У тебя наверное Win98, я говорю про XP, в Win98 он в папке windows\system. Называется он xprotector.sys в NT, а в 9x - xprotector.vxd.

бара :: У меня, мил человек, Windows 2003 Server, а не W98
так что именно второе... но в теле защищённой проги. А в самом драйвере я не смотрел так как криптован он здорово...

Dragon :: Он не криптован, там scrambled код. Его легко обходить, по равенству esp. Допустим если есть scrabmled-команда push eax, то сначала обязательно будет pop eax(или другой регистр), а только потом нормальный код.

бара :: dragon, ты бы помог - объясни мне как сдампить эту программу под NT/XP и как доступ к процессу получить... Мне надо патчить защищённую им программу. Версия 1.7 - ну последняя, в общем.
А код там какой это всё интересно, но размотать его я вряд ли смогу - терпения не хватит :)
Есть ли у тебя способ получить доступ к процессу на запись в его память ? Если есть - опиши прямо тут или скинь мне на мыло плиз. А то я перепробовал уже много чего и пока слабо продвинулся...

MoonShiner :: Свой драйвер?

Dragon :: Да, только свой драйвер, других способов не вижу.

бара :: Ладно. Всё понял. Поднимаю якоря...

test :: В принципе я дошел до кода который вырубает проц.Только вопрос остался«Каким образом?»
Там должен сработать Exceiption, но не срабатывает.Это маленький цикл с ecx=1 и кода он
выполняется второй раз то на MOV DWORD PTR DS:[EAX-4],DI ребут.Это что?Попытка записи
в таблицу дескриптора?Генерация двойного исключения?
DS=0023,EAX=8003F40C, EDI=006FE203.В принципе есть скрины там все наглядней.
А скрыть отладку очень трудно,там RDTSC разбросаны по коду очень много.Интересно в новой
версии я использовал драйвер от демо-версии ,он по размеру меньше.Только изменил размер файла драйвера.Хотя код отличается, это никак не повлияло на работу нового протектора.И еще.Подскажите можно ли в sice с IceExt использовать loader?.А то он Sice не видит.

бара :: скрины выложи мне тоже на форум сюда:
http://www.team-x.ru/xfor...m/index.php?showtopic=523
или опиши подробнее ситуацию. Заодно прочтёшь про наши «мытарства»

старый драйвер много занимает ? если нет - тоже закачай туда или скинь на мыло.
И самое главное не сказал - как область памяти процесса разлочить и открыть сам процесс на запись...

Dragon :: Кстати кто тут писал, я попробывал DLL подгружать, всё работает, и API перехватывается. Я делал лог вызовов GetProcAddress, их слишком мало, значит в протекторе есть свой аналог GetProcAddress. Чтобы распокоавть, первым делом надо импорт восстановить, потом уже OEP и дамп.

test
rdtsc там не используется - это scrambled, такой же как и sidt [esp - 2]

test Re: Dragon :: Да я понял! ошибка вышла.Просто драйвер наверно перехватывает там где исключение и
ребутит он конечно.И с подменой драйвера.Он просто перезаписывал.А сейчас пробовал
поменять атрибуты read only так сразу «CreateFileA API Error while extraction the driver».
А насчет RDTSC я несовсем понял.Значит тот код который выполняется в отладчике это
scrambled?.В том то и дело что я и до создания тредов проходил если быстро пропустить код.Толку мало было, так как прога висла в процессе.Но не ребутило.Так что антиотладка в коде явна.И вот это MOV DR0,EAX(eax=0) итд по всем регистрам.Или я ошибаюсь?

бара :: я пробовал на W2003 - (!) и дампер by Asterix не работает как и дамп из ProcDump, LordPE 1.4, PETools 1.5 и вообще если у вас вышло - скидывайте описание и скрины как я это делаю у себя на форуме. А то одни слухи и сплетни плодятся только пока - один говорит, что протектор этот давно сломали (D.e.m.o.n.i.X.), второй говорит (Dragon), что он все API умудрился перехватить и дампит код. Я не сомневаюсь в ваших умениях, но давайте какие-то факты выкладывать. Иначе зачем на форума ходить - сплетничать что-ли ?
Так что прошу открывать карты, как говорится... Так как не видел я примеров пока реальных...

Dragon :: Ну API перехватить умудрился, и код могу сдампить, только какой в этом смысл, если дампить не на OEP, а во время работы? Вот я и пытаюсь найти сначала создание импорта, а потом OEP. Тогда если всё заработает, то выложу и статью напишу может.

бара :: смысл в том, что мне нужно знать как можно процесс патчер написать - мне сам протектор ломать и снимать не нужно - мне по барабану на него - мне нужно знать как патчить программно этот код из проги своей и как дампить защищённую этим протектором прогу. Больше мне ни хрена не надо

Dragon :: test

Драйвер просто так не подменить. В первом вызове DeviceIoControl драйвер передаёт свою версию.
Кстати, отлаживать его очень хорошо OllyDbg с плагином, защищающем от IsDebuggerPresent. Так можно дойти до загрузки DLL, из которых функции импортируются.

бара
Пишешь лоадер, CreateProcess, с флагом CreateSuspended. Потом загружаешь в него DLL через CreateRemoteThread, см. статью про перехват API на wasm.ru, а потом вызываешь ResumeThread. В процедуре инициализации DLL можешь делать что хочешь, в том числе и дампить.

бара :: Dragon:
теорию я и сам знаю.
мне нужен практический пример с CreateRemoteThread, так как метод Asterix’а у меня не работает с защищёнными этим протектором прогами и вообще не работает функция дампа под W2003.
Мне нужно не лоадер сделать а типа трейнера, те патчить не при загрузке, а во время работы программы...

Dragon :: Патчить таким образом можно при перехвате API. Я могу выслать на мыло загрузчик, а DLL пиши сам.

А протектор очень интересный, байты с OEP спирает, как ASProtect, импорт у него такой:

CODE____:0043988C sub_43988C proc near ; CODE XREF: sub_4195A7+10p
CODE____:0043988C ; sub_41DBFA+F8p ...
CODE____:0043988C nop
CODE____:0043988D jmp near ptr 3940584h
CODE____:0043988D sub_43988C endp

Это GetModuleHandleA. Отлаживать то нельзя, так что непонятно, то ли по адресу 3940584h что-то есть(т.е. аналогично ASProtect 1.3) то ли возникает исключение и в SEH по этому адресу управление передаётся на нужную процедуру. В общем хрен знает что нагородили тут.

бара :: barongede@hotmail.ru
всё что нарыл - шли сюда - на моё мыло. Обещаю, что публиковать не буду, ежели нельзя и в коммерческих целях тоже.
Мне с познавательной точки зрения интересно. Я своего рода коллекционер как бы
Скидывай в общем... И спасибо за то, что исследовал...
Тут я вряд ли появлюся таперича. Потому что делов привалило разных...
Так что тоже заходи в гости если что. Пока

PS
Форум на wasm.ru заработал кстати тоже сегодня. Артурик видать отдыхает - и писем писать перестал :)))

the_laser :: Господа.

бессмысленно копать этот драйвер и проч.
накручено тысяч 30 всякого рода циклов и тд.
копать надо изнутри.

импорты он все копирует в память и из нормальных инструкций делает мусор, поэтому трейсить их бесполезно - ничего не выйдет.

спасает только то, что эта гадость не все инструкции «эмулирует».

поэтому есть реализуемая идея как импорты отресолвить на автомате.

но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.

ничего не нашел. наоборот - пжалста. (ассемблер типа).

есть на сайте ollydbg его библиотека, но она вся из-себя сишная, мнеб dll.
а так - это именно то, что надо.

может кто хорошо шарящий в С склепает из этих исходников dll ??

тогда мы этот xprot быстренько обломаем.

и так обламывается, но вот сидеть и вручную восстанавливать 500 импортов... напрягает, скажем так.

-= ALEX =- :: the_laser пишет:
цитата:
но надо мне библиотечку... дизассемблер.
надо оттуда только определение длины команды x86, то есть на вход я даю кусок памяти, она мне возвращает длину x86 команды с начала блока.


ну это я тебе могу сделать, если надо... обращайся

the_laser :: Надо !

обращаюсь.

мысль такая.

вот он сырец.
http://home.t-online.de/home/Ollydbg/disasm.zip

вот они две функции которые нужны.
disasm после дизассемблирования может вернуть размер команды, ежели его попросить.
assemble чтобы была. вещь ценная.

int Assemble(char *cmd,ulong ip,t_asmmodel *model,int attempt,int constsize,char *errtext);
ulong Disasm(char *src,ulong srcsize,ulong srcip,t_disasm *disasm,int disasmmode);

что хочеться, по приоритету.

1.чтоб это в vpascal/delphi можно было использовать, то бишь прикрутить как-то obj,генерируемые С.
у меня пока не выходит, покручу еще, но не люблю я С :(
2. или dll в которой будут две такие функции (ну то есть не две, а вот все что disasm.h ;) эти две просто необходимы)

вот.

Dragon :: the_laser
Где ты там в драйвере видел циклы? Там только scrambled. Там же открытие доступа к портам и IDT.

C импортом то понятно, там хоть мусора много, но вызов всё равно к началу реальной API сводиться, так что можно запретить доступ на выполнение к секциям кода всех DLL, из которых функции импортируются, и вызывать по очереди все функции, через SEH адреса отлавливать. Есть ещё проблема, если импорт выглядит не call [func] а call [переходник], то IAT уничтожается, надо новую создавать. Придумать бы ещё, как байты спёртые на OEP найти...

the_laser :: @dragon:

циклы - это не про драйвер. это про основное тело программы. куча там циклов расшифровки/распаковки и все раскидано по ниткам. разбираться муторно. да и ни к чему абсолютно.

насчет импорта - не верю ! (с) . xprot копирует все функцию (до ret) себе в память и потом ее корежит.
ее , покореженную , и исполняет. по крайней мере так было во всех xprot-ченных прогах что я клепал.

так что путей тут 2 :

1. поймать, где xprot корежит функцию и это дело обрубить. малореально, ибо это делается походу параллельно в нескольких потоках,заодно и драйверу чтой-то перепадает работы.

то есть для меня малореально. монстры-то покопаются.

2. сделать import resolver по сигнатурам. реально. но мне нужна такая библиотека как я написал выше :)
походу придется разбираться как сделать dll на С. думаю сделаю. ну или поможет народ (надеюсь)

да,xprot всегда хреначит IAT. заодно он хреначит ВСЕ вызовы api в .exe и меняет их на JMP [xport_garbaged_api#XXX]
даже больше - в xprote лежат зажатые секции кода, так даже там все вызовы api забиты на NOP.

то бишь не использует он таблицу импортов никогда после того как испортит прогу (защитит)

создание новой таблицы IAT и восстановление спертых байтов не проблема.
проблема пока только в распознавании «garbaged» api...

руками я все это распознаю, но ... см. сообщение выше.

the_laser :: эк зацепило.... сделал библиотечку.

теперь будем собственно делать import resolver.

-= ALEX =- :: the_laser пишет:
цитата:
эк зацепило.... сделал библиотечку


получается уже сделал ? могу свою тебе билиотечк у состряпать, которая будем возвращать длину команды...

the_laser :: в смысле, скомпилил исходники с ollydbg-шного движка в виде dll. и это даже работает ;)

теперь что надо сделать -

написать такую тулзятину, которая будет скакать по всем экспортам указанной dll и вытаскивать из каждого экспорта некоторые (не все ) команды в некое файло. это будет типа сигнатуры ;)

вот, теперь еще и это писать. хотя есть у меня знатная библиотечка для работы с PE.

ну и потом написать плагин для impreca чтоб он эти сигнатуры искал в указанном куске кода из xprota.
если 3-4 команды совпадают - значит это она, родимая (api функция)

вот для всего этого собственно и нужна была dll дизассемблера.

но сейчас я думать не могу, голова болит. если к вечеру отпустит, сяду клепать.

Dragon :: Насчёт импорта(XProtector 1.07 demo), я только некоторые функции смотрел. Вот GetModuleHandleA я перехватом проверил, она точно сводиться к оригиналу в kernel32.dll, хотя мусора в переходнике до хрена, но он не заменяет её внутренний код. Другие функции не смотрел. И если ты говоришь, что xprotector извращает код функции, то можно как в StarForce таблицу экспорта у библиотек в памяти подправить, чтобы они ссылались на код

push func_addr
ret

А если все оригиналы вызываются, то лучше их отлавливать через исключения. Сначала надо выяснить, как импорт построен конкретно, а потом что-то делать. Сегодня попробую разные функции поперехватывать, типа CreateWindowExA, ShowWindow, чтобы разобраться. К тому же один импорт ничего не даст, надо ещё OEP и байты спёртые искать.

-= ALEX =- :: блин самому охота поизучать сей протектор, но комп ребутиться :( блин :( чем поможите ?

the_laser :: @alex:
а ничем. используй ollydbg. и то...

@dragon:
может это только проблема demo-версии ?
потому как я демо не смотрел, только защищенные коммерческой версией смотрел.
а там весь код (вернее, первые 4096 ) копируется и портится.
и код не весь заменяется, только простые команды работы со стеком, ну и еще некоторые.

дальше.
про подправить я думал. да вот только загвоздка - как подправить kernel32, user32, gdi32 ?
ибо он портит импорты только из этих библиотек.
локальные копии не загружает, пробовал.

и оригиналы не вызываются.

а про oep и спертые байты я уже говорил - не проблема.

придется-таки писать поиск по сигнатурам. ну и руками потом, что не получилось.

Dragon :: kernel32 и др. можно подправить динамически - подгрузить dll в адресное пространство защищённой проги. У меня исходник где-то от восстановителя импорта для Starforce валяется, надо его переделать под xprotector, раз он также делает. Но оригинал GetModuleHandleA вызывается точно, раз перехватчик работает. Завтра займусь, лучше про OEP расскажи, как его найти и про спёртые байты.

the_laser :: Ну как ты его подгрузишь динамически, если xprot все блокирует ?
и createremotethread и вообще все ?

конечно я все не знаю, но путей как заменить dll в xprot иначе как подмены оригинальной системной не знаю :(

OEP во всех программах,написанных на языках высокого уровня ищутся на раз, правильно ?
а спертые байты... в ексешнике есть зажатая секция кода. там попорчены только API вызовы, остальное на месте.
в общем вот.

начал делать ресолвер.
в принципе идея такая.

все функции в xprot портятся так. берется кусок кода до первого RETN. и разбавляется мусором, причем почти все операции со стеком , простые push xxx pop xxx и еще некоторые инструкции заменяются на кучу мусора,делающего аналогичный код.

то есть апи функция после обработки xpot выглядит так

original
...... garbage
jmp xxxxx
xxxx:
...... garbage
emulated_original
...... garbage
...... garbage
call xxxxx
xxxXX:
...... garbage
original
call original
...... garbage

и в конце всегда
retn

идея,которую я делаю.

сделать базу сигнатур (неэмулируемых инструкций) из kernel,user,gdi
сделать плагин к импреку, который
1. опеределяет длину эмулируемой функции xprot (ходит по jmp/call до ret)
2. ищет в этой функции последовательно все сигнатуры из базы.
если найдены эти сигнатуры - гуд, это она.

вот. если есть какие-то наработки или идеи на эту тему (паскаль) и не жалко ими поделиться - я буду сильно рад ;)
нет - сделаю сам, процентов 40 я уже сделал.

Dragon :: Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.

Вот кусок кода из дампа, близко к OEP(тот же XProtector 1.07 demo):

CODE____:0042A359 test al, 64h
CODE____:0042A35B mov large ds:0, esp
CODE____:0042A361 call loc_7DC1BB
CODE____:0042A366 or al, 0
CODE____:0042A366 ; -------------------------------------------------- -------------------------
CODE____:0042A368 db 0 ;
CODE____:0042A369 db 0 ;
CODE____:0042A36A db 0 ;
CODE____:0042A36B db 0 ;
CODE____:0042A36C db 0 ;
CODE____:0042A36D db 0 ;
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36E cwde
CODE____:0042A36E ; -------------------------------------------------- -------------------------
CODE____:0042A36F db 3 dup(0)
CODE____:0042A372 ; -------------------------------------------------- -------------------------
CODE____:0042A372 outsd
CODE____:0042A373 push NULL
CODE____:0042A375 call GetModulehandleA
CODE____:0042A37A mov ds:dword_450344, eax

Ну и где здесь OEP и байты спёртые?

the_laser :: А можно поподробнее, как подгрузить свой kernel32.dll после того, как сделаешь замороженный процесс ?
ведь xprot будет использовать довольно много функций из него.

насчет плагина - есть способ его того, разблокировать. и потом импрек замечательно пашет.

про OEP и байты - еще раз. в xprot держит все секции запакованными. в них чистый код, данные и ресурсы.
только вызовы api заноплены. остальное все на месте.

Dragon пишет:
цитата:
Динамически подгрузить можно, сделать загрузчик через CreateProcess, с замороженным тредом, а потом и подгужать, пока ничего не блокировано. Потом править массив addressoffunctions. И всё, восстановить будет гораздо легче. И ещё, какой тебе плагин для imprec, процесс то заблокирован. Если делать моим способом, то можно вручную сгенерировать файл tree в формате imprec, затем создате идентичный по структуре PE файл, и создать сам импорт(секцию mackt), добавить её, а потом ещё и jmp всё подправить, чтобы на новую IAT указывали.


Dragon :: Системные библиотеки можно патчить, а не подменять. Я так делал, т.е. ставил свои переходники(push f_addr; ret) вместо функций, но не смотрел, что в импорте xpotectora получилось. Если ты говоришь, что можно разблокировать процесс и найти OEP и спёртые байты, то прошу способ в студию! А я тогда с импортом закончу, и внутренние функциии расшифрую. Там есть зашифрованные, вот вроде расшифровка (из дампа xprot demo 1.07):

CODE____:0042B3C6 push 78263845h
CODE____:0042B3CB push 7
CODE____:0042B3CD push 0
CODE____:0042B3CF push 3A13A8B8h
CODE____:0042B3D4 push 81DDAC31h
CODE____:0042B3D9 push 78263845h
CODE____:0042B3DE call sub_43996A

Там дальше переходник, ведущий к коду из секции xprot, вроде как к процедуре расшифровки.

the_laser :: угу. патчить. а как тогда винде работать,если вместо каждой функции стоит push addr; retn ??

или я чтой-то не догоняю ? объясни, плз.

как разблокировать ? а элементарно. пусть приложение считает, что работу завершило, но не завершает .
в общем-то все.

ps.
я при распаковке xprot вообще никакими отладчиками не пользуюсь :)

test :: Перестал запускаться Xprot на WINXP.Не помню точно после чего.Похоже с драйвером что
то.Пробовал переустановить.Но он всеравно не хочет.Система и другие приложения работают без проблем.В чем может быть причина?

Dragon :: the_laser

Делаешь так, выделяешь блок памяти для переходников. Вот к примеру функция GetModuleHandleA, у неё в таблице экспорта в массиве AddressOfFunctions стоит RVA. Так вот, записываешь в свой выделенный блок вот это:

push GetModuleHandleA
ret

И правишь RVA так, чтобы оно при сложении с ImageBase дало адрес переходника. Всё работать нормально будет, этот набор инструкций работает как jmp, к тому же xprotector раз он до ret копирует код функции, то он скопирует себе тольо push GetModuleHandleA и пусть извращает эту одну инструкцию как хочет, всё равно можно легко определить функцию.

Про разблокировку чего-то не понял, как так завершить работу, чтобы приложение не завершилось? Дамп у меня получается снимать только из подгруженной DLL, т.е. каждый раз, чтобы прочитать какой-либо блок памяти, приходиться код руками прописывать, к тому же ещё и на ассемблере. Если разблокировать, то будет удобнее исследовать.

test
У меня было такое. Я удалил xprotector.sys из папки с драйверами и перезагрузился, всё заработало.

the_laser :: @dragon:

что сделал :

прилепил к kernel32 секцию, в секции поставил один переходник (на попробовать) \
push addr
retn

поправил в export_directory.addressoffunctions адрес,чтоб туда ссылался.
винда работает, проги,использующие эту функцию, работают
xprotченные проги молча вылетают.

походу его Garbage_engine или еще что-то тупит.

а может я делаю что-то не так.
если есть какая тулза в помощь расставления/создания таких переходников , подскажи где взять,плз.

Dragon :: Нет такой, надо вручную писать. Там я хорошо протестировал, работает только с библиотеками, которые не используются для распаковки, например gdi32.dll. Видимо протектор пресекает это, и надо не просто push addr/ret, а несколько инструкций оттуда брать, или проанализировать функцию получения адреса, аналог GetProcAddress. Я тогда этим и займусь, скорее всего защита в ней.

Лучше все такие экспирименты динамически проводить, дай мыло, я тебе вышлю исходник загрузчика, который загружает свою DLL в адресное пространство защищённой проги, может поможет.

the_laser :: да я уж написал такую тулзу...толку ...ну я написал сколько. смотрит он походу на длину функции... кстати - а попробую я мусора туда напихать.

а что, нашел функцию получения адреса ?

слушай, может не париться и с сигнатурами сделать как в идее было?
библиотечка дизассемблера есть, определить теперь точно какие инструкции он эмулирует и все....

мыло:

the_laser_at_mail.ru
вместо _at_ ессно собачка.

Dragon :: Функцию получения адреса нашёл - 6BECFC(Только не помню, зашифрована процедура сразу или нет, лучше в OllyDbg на неё по hardware breakpoint выйти. И ещё, исследуй тоже xprotector 1.07 demo, лучше одинаковые проги копать). Надо её разобрать, может там проверка какая есть, если есть, то пропатчить и всего делов. А она должна быть, т.к. ты говоришь, что он gdi32.dll извращает и переходники в ней свободно съедает, а kernel32, user32 и advapi32 используются при распаковке и как раз адреса функций из них достаются через ту самую процедуру.

Я скинул тебе загрузчик. Если надо, исходик DLL тоже кину, которая как раз всё это и делает, таблицу экспорта правит.

test :: Dragon. Если у тебя нет не «демо» версии я могу выслать или ссылку.У меня обе версии работают на одном драйвере.«Демка» точно не проверяет свою версию и загружается с новым драйвером.А работают они по разному в не «демо» версии импорт на 99% портится.Если сможешь скинь мне свое мыло test_guest@rambler.ru.

Dragon :: У меня нет не DEMO, если нужна будет скачаю с wasm.ru.
Версия драйвера всегда проверяется, главное, чтобы она была под текущую версию или более новая, как бы обратная совместимость.
Импорт в demo испорчен точно также, причем не на 99%, а на 100%.

бара :: главное распротектить сам процесс. Вот главный удар, куда нужно сконцентрировать усилия.

Dragon :: Да дампить через DLL можно, через какие-нибудь события взаимодействие организовать. Было бы SDK для PE Tools, можно было плагин написать, чтобы дампить.

Я пароверил всю эту процедуру. Она принимает в параметрах базу библиотеки и какой-то хэш от имени функции, и ещё первый символ. А потом ещё есть проверка на int3 в начале, больше ничего такого нет. Придёться в другом месте искать. По сигнатурам ничего не сделать, у многих API начало одинаковое.

bara :: было бы кабы тогда бы да....

the_laser :: @dragon:

а причем тут начало процедур api ?
ведь эта хрень забирает всю процедуру до ret .

то есть должно получиться.




CrackOut Нужна помощь!Защита CD от копирования?? Игра Stronghold (стратегия)


CrackOut Нужна помощь!Защита CD от копирования?? Игра Stronghold (стратегия)
Скопировал на болванку с не ахти какого лицензионного диска..
Запускаеться процесс установки гамы..
Install Shield.....

Затем мессага
» Номер ошибки:0x80070725
Описание:Несовместимая версия заглушки RPC
Установка будет прервана. »
И кнопочка O’key.

Что делать,подскажите пожалуйста!

WELL :: Что-то мне кажется здесь не в защите дело.

Для Install Shield декомпилеры есть, глянь ими.

А вообще простая защита от CD (не StarForce конечно) часто сводится к проверке GetDriveType.
Кажется в GTA так было.

RideX :: WELL пишет:
цитата:
Кажется в GTA так было.


В уже крякнутой, в нормальной был Securom :)

Gres :: CrackOut
А чем копировал то?
Нюра и CD Греатор нормальные копии делать не умеют!
Я давно пользуюсь CloneCD правда и с ним пару раз проблемы были,
ругалась игрушка, обычно проверяю сначала на RW-шнике, а потом уже
переписываю, правда встречал игрушки которые проверяют не RW-шный
ли диск!!!

mnalex :: Gres
Лично я встречал такие диски, там можно сделать копию, а копия с копии уже неполучалась ;) - так что и такие защиты бывают...




Styx www.wasm.ru Народ может кто слышал, что там WASM-ом стало


Styx www.wasm.ru Народ может кто слышал, что там WASM-ом стало
PalR :: Усё там нормально. Захожу в 21.47 08.04.2004 через русский




XoraX непонятка с армадиллой че за хрень... какую прогу не запускаю,...


XoraX непонятка с армадиллой че за хрень... какую прогу не запускаю, защищенную последней армой, она не запускается..
пишет General Exctraction Error. Location ES1.
причем сайс неактивен и вообще ничего лишнего не запущено...

че за, кто знает?
UnKnOwN :: Аналогичная история, сам мечусь в непонятках,

если кто что знает опешите как и что и как сэтим бороться

Dred :: У меня тоже самое с Sothink SWF Decompiler -›

Прохожий :: В новой арме встроен высокоинтелектуальный детектор хакеров.

__cr__ :: Может они заюзали прием, о котором писал Bad_guy?
Т.е. поиск ярлыков и т.д.

MozgC [TSRh] :: Это защита от отладчика в версии 3.60. Если вкратце то обходится так:
bpx openservicea
bpm -1 dr0

Запускаете армадильную прогу и прерываетесь в OpenServiceA, F12 и ложите в eax 0, чтобы jz выполнился (сервис NTIce якобы не найден), потом будет сравнение eax с 424, прыжок должен выполниться. Жмете F5 и прерываетесь кое в каком месте, на которое вы не ставили бряк. Бряк поставило Armadillo. Просто вырубаете все бряки и жмете F5. Прога запущена.

PS. Еще надо IceExt в реестре в двух местах переименовать во что-нибудь другое.
PPS. Странно что у вас эта ошибка идет первой. Обычно арма сначала пишет что найден отладчик и только после обхода OpenServiceA пишет ошибку ES1.

infern0 :: мозг правильно написал. только лучше всего взять iceext 0.60 и при установке указать дроугое имя. superdriver подойдет :)

MozgC [TSRh] :: infern0
Выложи плиз куданить версию 0.60, а то нигде найти не могу =(

AnteC :: 0.60 http://www.wasm.ru/tools/10/IceExt.zip

Mario555 :: У меня почему-то некоторые армадильные проги выдают сообшение о найденом отладчике даже когда сайс выключен...
Если в таких прогах поставить бряки (в Olly) на IsDebuggerPresent и OpenServiceA, то сначала сработает IsDebuggerPresent, потом OpenServiceA, затем опять IsDebuggerPresent и после последнего по-любому вылетает эта мерзкая месага.
Причем версии армы на этих прогах не последнии (это если верить Peid). Что там может проверять арма ?

Choba :: Если не трудно скиньте на choba@ua.fm IceExt 0.60

Choba :: уже сам нашел на http://stenri.pisem.net/

captain cobalt :: MozgC [TSRh] пишет:
цитата:
Жмете F5 и прерываетесь кое в каком месте, на которое вы не ставили бряк. Бряк поставило Armadillo. Просто вырубаете все бряки и жмете F5.


Опасно! Если подумать логически, то оно может делать это чтобы:

1. Запутать ламера
2. Отобать бряку у дебугера
3. Прерваться на нем

Первые два пункта выглядят несерьезно,
а вот вероятность третьего очень велика.
Даже если кажется, что программа запускается,
такое вмешательство может оказаться
опасным чреватостью в последствиях...

infern0 :: captain cobalt пишет:
цитата:
Опасно! Если подумать логически, то оно может делать это чтобы:

1. Запутать ламера
2. Отобать бряку у дебугера
3. Прерваться на нем

Первые два пункта выглядят несерьезно,
а вот вероятность третьего очень велика.
Даже если кажется, что программа запускается,
такое вмешательство может оказаться
опасным чреватостью в последствиях...


херня все это. никаких последствий кроме нормального дампа в итоге не будет :) арма в принципе тупая до безобразия...

XoraX :: infern0 пишет:
цитата:
арма в принципе тупая до безобразия...


да, если разобраться в ней хорошо... напиши чтоли туториал хороший

MozgC [TSRh] :: captain cobalt пишет:
цитата:
Опасно! Если подумать логически, то оно может делать это чтобы:


Ну тебе лучше знать =)

infern0 :: XoraX пишет:
цитата:
напиши чтоли туториал хороший


на тему ?

GL#0M :: infern0

Распаковка армадиллы от А до Я. =)




x0f4 Помогите сломать прогу! Есть запакованный sfx архив, защищ


x0f4 Помогите сломать прогу! Есть запакованный sfx архив, защищённый паролем. Чем можно сломать, или где найти пароль в этом файле с помощью прог W32Dasm, DeDe? Либо посоветуйте программу какую-нибудь. SoftICE упорно вешает XP при перезагрузке.
Гость :: x0f4 пишет:
цитата:
SoftICE упорно вешает XP при перезагрузке


Какая верия сайса? Установил патч под ХР?

Gloomy :: x0f4
Только подбор пароля, никакой отладчик тебя не спасет.

Char :: Gloomy пишет:
цитата:
Только подбор пароля, никакой отладчик тебя не спасет.


А почему это невозможно - в принципе? Разве там не идет сравнение строк etc.?
Хотя есть ведь AZPR, ARPA ARchive passwords recovery, которые брутфорсят (включай да ложись спать, если просто надо пароль). Но ведь действительно, как с такими прогами ваще можно? Неужели только BrootForce???

Gloomy :: Char
›› Разве там не идет сравнение строк etc.?
Если шифрование сделано грамотно, то не идет - архив расшифровывается введенным паролем. «Криптостойкость зашифрованной системы, в которой присутствует пароль, равна нулю.» (с) почти точная цитата из книги «Прикладная криптография»




ilya возможна регистрация OPERA 7.20 - битхаком ? можно ли зарегерить OPERA...


ilya возможна регистрация OPERA 7.20 - битхаком ? можно ли зарегерить OPERA 7.20 с помощью битхака,ведь сообщение о неправильной регистрации вызывается в модуле USER32
,как быть?
RavenFH :: А зачем ее регистрировать - убери баннер

ilya :: не в баннере счастье

RavenFH :: Ну на крайний случай можно заставить ее думать что она зарегена, если очень постараться то можно я думаю и кейген слепить, так даже интереснее, я сейчас над этим и занимаюсь только для версии 7.23

ilya :: что будет при замене переходов в модуле user32 ?

RavenFH :: ilya пишет:
цитата:
что будет при замене переходов в модуле user32 ?


п...ц! зачем туда лезть? нужно копать в самой Опере.

Gloomy :: При исследовании программ, написаных с использованием MFC нужно просто запастить терпением и не заблудиться в дебрях системных библиотек - просто спокойно, терпеливо выбирайся из библиотеки обратно в программу и придешь как раз куда надо.
Взлом программ на Васике или на VC++ с использованием MFC - это самый настоящий Дзен

WELL :: Gloomy пишет:
цитата:
Взлом программ на Васике или на VC++ с использованием MFC - это самый настоящий Дзен


Самое обидное, что пишутся такие проги как раз легко




alex221 Сломайте мою программу плизз... Я не мазохыст конечно, но просто


alex221 Сломайте мою программу плизз... Я не мазохыст конечно, но просто интересно, кто умнее, кракеры или я?
Раньше всегда побеждали кракеры, но одна знакомая девушка-программист
подсказала мне интересный вариант защиты с шифрованием кода.....

Прога готова на 85%, IDE среда для программистов на PowerBASIC
http://scriptstudio.narod.ru/

Cкриншоты программы
http://scriptstudio.narod.ru/screen.html

Идею защиты, с шифрованием кода, подсказала Надя Мосягина, умница и просто красавица,
за что ей огромное спасибо! Виктору Тв. спасибо за тестирование защиты, и выявление
слабых мест.

Для скачивания файлов с народ.ру желательно использовать download менеджер.
К примеру ReGet ( http://www.reget.com ).

Когда сломаете защиту, поделитесь пож. технологией слома!!!
:))

dMNt :: ормгмнальная защита от взлома - page not found

alex221 Re: dMNt :: ок

dMNt :: нда, программа нашлась, только зачем делать download если его нету?

тепрь о главном: защита сильная, настолько сильная, что аж при запуске вылетает с runtime error #7 на ОС win98SE
я пас

alex221 Re: dMNt :: К сожалению в Win98 глючит XP стиль, 98 Мастдай неправильно
обрабатывает параметры передаваемые функции CreateWindowEx..

Чтобы отключить XP стиль в файле Startup.ini надо заменить строку

XPStyle=True на XPStyle=False

И добавить строку

MenuStyle=9X

[Start]
SplashScreen=True
XPStyle=False
MenuStyle=9X

При этом пропадут иконки в меню...
Но прога будет работать в 98 виндах

Gloomy :: alex221
Не люблю программы на Васике но на досуге обязательно поковыряю

alex221 Re: Gloomy :: Если взломаешь, опиши технологию пож. взлома!!!
:))))

UnKnOwN :: Чёто это прога у меня вооще не запустилась, странно

RideX :: alex221
Тебе ведь уже Dr.Golova на wasm.ru написал, что не устраивает?

alex221 :: UnKnOwN

Какой у тебя Windows?
Если 95/98/ME то замени строки в файле Startup.ini

Должен быть такой вид

[Start]
SplashScreen=True
XPStyle=False
MenuStyle=9X

alex221 :: to RideX

Он взломал, после того, как я поместил сюда мессагу..
Да и взломал ли??? Там есть еще несколько секретов..

:)))

Gloomy :: Эх, опередили меня Не люблю я все-таки Васик

›› Там есть еще несколько секретов..
Тогда это надолго...

RideX :: Gloomy пишет:
цитата:
Тогда это надолго...


А оно тебе надо?

dMNt :: нда, васик это да. если кто знает, чем dr.Golova так ее дизасмил, поделитесь
а вот пакер снялся быстро... начинаю доверять olly

alex221 Re: dMNt ::
Я специально запаковал прогу старым ASpack, в релизе хочу использовать Armadillo 6.5

Gloomy :: RideX
Интерес тут чисто спортивный

dMNt
«Есть мнение, причем не только мое» (с) что Dr.Golova ипользовал полную версию VB RezQ.

›› начинаю доверять olly
OllyDbg рулит!

alex221
›› Armadillo 6.5
А разве такой уже есть? Самая последняя версия вроде 3.2

alex221 Re: Gloomy :: Наверное попутал с другим протектором

Armadillo 3.60 - точно

:))))

alex221 Re: alex221 :: Если найдете кряк для VB RezQ, киньте сюда ссылку....

:)))

XoraX :: alex221 , учти, что использование нелицензионного армадилло в коммерческих целях = уголовная ответственность =))
или ты покупать собрался? ;)

__cr__ :: На ftp.exetools.com лежит Арма 3.60 Public. Мне кажется, что за нее ничего не просят

MozgC [TSRh] :: __cr__
Там она без наномитов, такое распаковывается за 10 минут.

__cr__ :: Не, ну понятно, что Public арма без наномитов.

GL#0M :: MozgC [TSRh]
А где можно с наномитами раздобыть?

MozgC [TSRh] :: GL#0M
купить.

alex221 :: XoraX пишет:
цитата:
alex221, учти, что использование нелицензионного армадилло в коммерческих целях = уголовная ответственность =))
или ты покупать собрался? ;)


Пусть подадут на меня в суд!!!

:)))




Styx NeoLite Как распаковать NeoLite. В частности найти OEP.


Styx NeoLite Как распаковать NeoLite. В частности найти OEP.
-=atol=- :: Почитай http://isp.vsi.ru/~kergha...0-%20UnPack%20Neolite.htm

Styx :: Thanks!

Runtime_err0r :: -=atol=-

цитата:
Почитай http://isp.vsi.ru/~kergha...0-%20UnPack%20Neolite.htm


Блин, да это же я писАл

Styx
Если не получается руками, то можно этим распаковать: http://feuerrader.ahteam.org/files/QUnpack_v03.rar

-= ALEX =- :: в большинстве случаев в правильных пакерах/крипторах которые заботяться о стэке, можно oep найти по bpm esp-4... последнее срабатывание и приведет к прыжку на OEP.




ilya замена hmemcpy в winXP есть ли какая замена hmemcpy под XP ?


ilya замена hmemcpy в winXP есть ли какая замена hmemcpy под XP ?
MoonShiner :: Аналогичной нет... Иногда подходит bitblt. Здесь эта тема уже поднималась не так давно... Поищи.

ilya :: а какая функция используется для копирования блоков памяти в winXP ?




John555 Посоветуйте протектор с привязкой к компу для DOS-проги Нужно...


John555 Посоветуйте протектор с привязкой к компу для DOS-проги Нужно привязать к компу досовую программку.
captain cobalt :: Прошить во флэш-биос

WELL :: John555
Можно взять из биоса несколько параметров (к примеру дату пришивки) ну и дальше в проге проверять их на валидность (разумеется не через if...then)

John555 :: Да мне не методика нужна, а готовая программа, которая привязывает к компу указанный ЕХЕшник.




Shell Реально заплачу $30 за крак Короче - достала!


Shell Реально заплачу $30 за крак Короче - достала!
Реально заплачу $30 за крак.
Прога http://download.victorovich.com
Размер - 2 мб
Кому деньги нужны -пишите ICQ 146614834
Только одно: не пытайтесь проскочить на халяву -все достаточно серьезно .
GL#0M :: Shell

Да демка это, написано же... дописывать нужно, а это под силу лишь очень продвинутым реверсерам... так что забей

Shell :: GL#0M
Вот этого не надо - у меня есть ключ на 30 машин - работает с этой версией
НЕ п..ди

-= ALEX =- :: Shell если есть ключ, зачем ломать, или тебе надо на 31 машину :) ? я б не стал так с реверсерами разговаривать грубо, хуй кто ломать тебе будет, заебёшся просить....

infern0 :: Shell пишет:
цитата:
Прога http://download.victorovich.com


там несколько прог.




XoraX снова вопрос по асму знатоки, скажите как примерно такое организовать на


XoraX снова вопрос по асму знатоки, скажите как примерно такое организовать на масме:

const
mas:array[0..5] of byte =(0Bh,FFh,0Ch,2Eh,44h, 03h);

begin
for i:=0 to 5 do begin
serial:=serial+mas(I);
end;
end;

Причем организовать нужно так же циклом, тк элементов в массиве может быть больше...
dMNt :: mas db 0Bh,FFh,0Ch,2Eh,44h, 03h
mas_lenght equ $-mas
.code
xor ebx,ebx
mov ecx, mas_lenght
mos esi, offset mas
@loop1:
losb
add ebx, eax
loop @loop1



-= ALEX =- :: dMNt угу, так оно так




ilya SVKP 1.3x -› Pavol Cerven Где дастать распаковщик для SVKP 1.3x ?


ilya SVKP 1.3x -› Pavol Cerven Где дастать распаковщик для SVKP 1.3x ?
MC707 :: Нужно посмотреть на свои плечи и шею и увидеть что у тебя есть 2 мощнейших инструмента - руки и голова.
А если серьезно, то автоанпакеров для него я не встречал.

infern0 :: MC707 пишет:
цитата:
есть 2 мощнейших инструмента - руки и голова


осталось прочесть мануал по их использованию :)




RavenFH Opera 7.23 Распакованная не запаковывается обратно UPXом, все лишнее


RavenFH Opera 7.23 Распакованная не запаковывается обратно UPXом, все лишнее отрезано но UPX говорит, что не может запаковать - никто не знает почему
GL#0M :: RavenFH

Делай инлайн патч и не мучайся...
Вот тебе пример:
http://gl00m.fatal.ru/art/hp2002pr.html

RavenFH :: Патч то я сделал интересно обратно ее запаковать а не получается

-= ALEX =- :: RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...

Gloomy :: Или можно попробовать паковать UPXом с ключом »--force», часто помогает.

RavenFH :: -= ALEX =- пишет:
цитата:
RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...


я прекрасно понял о чем речь, просто мне не нравится аспак.
Gloomy пишет:
цитата:
Или можно попробовать паковать UPXом с ключом »--force», часто помогает.


Gloomy спасибо прокатило, (я для себя делал, ну еще и интересно было)

RavenFH :: -= ALEX =- пишет:
цитата:
RavenFH ты малость не так понял. можно пропатчить пакованную прогу, метод называется «инлайн патч»...


Даи кстате про инлайн патч там вот такой интересный прыг на OEP, если смотреть в HIEW

push 00000000
ret
если инлайн то неизвестно с чем больше провозишься и помучаешься.


Gloomy :: RavenFH
›› интересный прыг на OEP
Совершенно нормальный для ASPack’а прыг - поставь на него бряк и запусти программу - я тоже когда первый раз ASPack начал ковырять сильно удивился когда у меня код прямо в отладчике изменился, просто волшебством тогда показалось

RavenFH :: Gloomy пишет:
цитата:
поставь на него бряк и запусти программу


Ты меня все никак не поймешь, чтобы инлайн на лету сделать нужно чтобы этот прыг был нормальный, прогу я уже сломал и
пропатчил, все нормально теперь хочу запаковать UPX-ом, кстате запаковал, она прглючивает, опять копаюсь

Gloomy :: RavenFH
Все равно не понимаю связь прыга и смысла делать распакованный ЕХЕшник - грамотно написанный ин-лайн патч пропатчивает программу именно тогда когда она полностью распакована (т.е. прыг нормальный). Попробуй DZA Patcher - создай им лоадер и посмотри что получится. Если все будет ОК тогда можно попробовать сделать патч. DZA Patcher сколько раз уж выручал от необходимости выкладывать распакованный ЕХЕшник

RideX :: RavenFH пишет:
цитата:
UPX-ом, кстате запаковал


RavenFH пишет:
цитата:
интересный прыг на OEP, если смотреть в HIEW
push 00000000
ret


Действительно, для UPX 1.2x выглядит необычно, что за версия UPX?

RavenFH :: RideX пишет:
цитата:
Действительно, для UPX 1.2x выглядит необычно,


Вы издеваетесь что ли, ну говорил же что все сломано - проблема запаковать UPX-ом и все! ( ну паковщик хочется, интересно, но почему не пакуется ), вообще если чесно, хочу сделать полный дистр оперы 7.23, и халявную регу, хорошая штучка - кто против? И выложу у себя на сайте. Альтернативы Опере не вижу в ближайшие пару лет., поэтому эту штуку стоит крякать. Выложить кряк не могу пока. Если есть умники которые кричат про инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool. Кто знает подскажите, а так не чего клаву террорезировать.

GL#0M :: RavenFH

Не, ну ты даёшь ваще...
Мы как лучьше говорим, а он ещё... блин... делай как хочешь.

GL#0M :: RavenFH пишет:
цитата:
инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool.


Ну, а это твои проблемы... кому геморно, а кому не геморно да ещё и кул.

WELL :: RavenFH пишет:
цитата:
Если есть умники которые кричат про инлайн патч, чесно говоря я не знаю как его сделать на лету. Гемором возможно - но не красиво и not cool.


Инлайн как раз - cool. Вообще чем меньше байт изменено тем круче.

P.S. Кстати, если бы ты руками распаковывал (а ты видимо тулсой какой-нить) то тебе бы и про инлайн понятней было...

RavenFH :: Распаковывал я ручками так надежнее, а вообще этот аспак ProcDump снимает, но мне не нравится что он в коде свои «коментарии» оставляет. Но вопрос был не про патчинг а как запаковать UPX-ом, а не по туториалу о мейкайни инлайн патчинга.

RavenFH :: Распаковывал я ручками так надежнее, а вообще этот аспак ProcDump снимает, но мне не нравится что он в коде свои «коментарии» оставляет. Но вопрос был не про патчинг а как запаковать UPX-ом, а не по туториалу о мейкайни инлайн патчинга.




FEUERRADER ASPR Stolen Bytes recovery tool v1.0 Написал эту тулзу, чтоб не


FEUERRADER ASPR Stolen Bytes recovery tool v1.0 Написал эту тулзу, чтоб не долбаться с mutated stolen bytes.
Работает ПОКА только с Delphi прогами.

Инструкция: дампите аспровую прогу (в которой есть мутированные спертые байты!). Находите tempOEP (это адрес первого call’a начиная с ЕР - ну в который аспр входит). TempOEP показывает, например, AsprDbg. Импорт можете не восстанавливать и дамп может не запускаться, это не имеет значения.
Жмете Get Stolen Bytes. Получаете спертые байты с адресами и прочим.

Это первая версия, может есть ошибки!
Пробуйте: http://feuerrader.nm.ru/SBRec10.rar
RideX :: FEUERRADER пишет:
цитата:
Написал эту тулзу, чтоб не долбаться с mutated stolen bytes.


Спасибо, нужная штуковина!

Гость :: Ну ты гений!

-= ALEX =- :: FEUERRADER где столько времени берешь на написание тулз ? я вот все свободное время (пару часов в день) трачу на написание протектора а также другой работы...

FEUERRADER :: RideX пишет:
цитата:
Спасибо, нужная штуковина!


Дык, а в действии? :)
-= ALEX =-
Выходные же. Вот и занялся кодингом.

GRADY$ :: Super!!!

infern0 :: извиняюсь за тон, но хули там в аспре для дельфовых прог восстанавливать ? push ebp, mov ebp, esp, mov eax, some_tbl, add esp, some_val ? это за 20 секунд руками делается...

Gloomy :: FEUERRADER
А можно в лист-боксе ширину строк сделать побольше а то вообще не видно что там написано

nice :: FEUERRADER
Спасибо, рулезная утилита, а исходники не дашь глянуть?

infern0
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45

nice :: FEUERRADER
Она только с 11 крадеными байтами работает?
А я уже губу раскатал...

infern0 :: nice пишет:
цитата:
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45


ну тогда любой пример сложнее того что я написал в студию.

Madness :: infern0
›ну тогда любой пример сложнее того что я написал в студию.
Там еще бывает 1-несколько push reg или loop: push 0; push 0; dec ecx; jnz loop (или что-то вроде этого), но в ~95% случаев ты прав.

__cr__ :: infern0 пишет:
цитата:
nice пишет:
цитата:
На дельфи у меня в коллекции около 7 разного рода ОЕР от 9 байт, до 45

ну тогда любой пример сложнее того что я написал в студию.


Особенно интересно увидеть ту прогу, где 45 байт
(на _ДЕЛЬФИ_ естессно)

2Madness:

цитата:
Там еще бывает 1-несколько push reg или loop: push 0; push 0; dec ecx; jnz loop


Такой цикл все равно не потянет на 45 байт.

nice :: infern0
Ну что же смотри (www.tradesoft.ru)
45:
PUSH EBP
MOV EBP,ESP
ADD ESP,-12C
PUSH EBX
XOR EAX,EAX
MOV [EBP][-120],EAX
MOV [EBP][-124],EAX
MOV [EBP][-118],EAX
MOV [EBP][-11C],EAX
MOV [EBP][-14],EAX
MOV EAX,00333333
CALL ...

32:
PUSH EBP
MOV EBP,ESP
ADD ESP,-1C
PUSH EBX
XOR EAX,EAX
MOV [EBP][-1C],EAX
MOV [EBP][-18],EAX
MOV [EBP][-14],EAX
MOV EAX,[00407C14]
MOV B,[EAX],001
MOV EAX,0033333
CALL ...

38 bytes:
0066B131 55 PUSH EBP
0066B132 8BEC MOV EBP,ESP
0066B134 6A FF PUSH -1
0066B136 68 C0716C00 PUSH opera.006C71C0
0066B13B 68 D8B96600 PUSH opera.0066B9D8
0066B140 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
0066B146 50 PUSH EAX
0066B147 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
0066B14E 83EC 58 SUB ESP,58
0066B151 53 PUSH EBX
0066B152 56 PUSH ESI
0066B153 57 PUSH EDI
0066B154 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

22 bytes:

0057B0F8 ‹Module› $ 55 PUSH EBP
0057B0F9 . 8BEC MOV EBP,ESP
0057B0FB . 83EC 18 SUB ESP,18
0057B0FE . 53 PUSH EBX
0057B0FF . 56 PUSH ESI
0057B100 . 57 PUSH EDI
0057B101 . 33C0 XOR EAX,EAX
0057B103 . 8945 E8 MOV DWORD PTR SS:[EBP-18],EAX
0057B106 . 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
0057B109 . B8 78A95700 MOV EAX,a.0057A978

Для любителей Олли, уже дописываю статью про аспр, где подробно процесс востановления будет описан.

Гость :: nice пишет:
цитата:
Для любителей Олли, уже дописываю статью про аспр


А где эту статью можно будет глянуть?
Дай адрес на свой сайт

nice :: Гость
Посмотри, это только процентов 40 правда, остальное дома:
http://hice.antosha.ru/AsProtect.rar

Гость :: nice - благодарен!
Надеюсь скоро все выложишь!

Гость :: кстати, nice, зайди сюда, может чем поможешь нам? (долбаем одну прогу!)

-= ALEX =- :: nice’у огромный респект ! по поводу проги сей ниче сказать не могу, вернее промолчу, что-то тянет FEUR. проги странные клепать...

FEUERRADER :: Да...жаль что Вам идея не понравилась. Больше не буду развивать этот проект.
Может кто подскажет, в инструкции add esp, X , в каких случаях X=-C, а в каких X=-10 ? Есть ли тут закономерность?

nice
А статья твоя по аспру будет не плохая. Жаль, что не дописал про импорт.

P.S. А стриппер что делает с мутированными байтами? Как он их высчитывает?
У меня просто стриппер не работает, хотя ХР :(

infern0 :: FEUERRADER пишет:
цитата:
Да...жаль что Вам идея не понравилась. Больше не буду развивать этот проект.
Может кто подскажет, в инструкции add esp, X, в каких случаях X=-C, а в каких X=-10 ? Есть ли тут закономерность?

nice
А статья твоя по аспру будет не плохая. Жаль, что не дописал про импорт.

P.S. А стриппер что делает с мутированными байтами? Как он их высчитывает?
У меня просто стриппер не работает, хотя ХР :(


идея понравилась. реализация подвела :)
а стриппер просто их копирует в отдельную секцию и ставит OEP на их начало. И все.

ViViseKtor :: Это точно. Идея отличная. И развивать стоит.

FEUERRADER :: infern0 пишет:
цитата:
идея понравилась. реализация подвела :)


Дык подскажи, как сделать лучше.
infern0 пишет:
цитата:
а стриппер просто их копирует в отдельную секцию и ставит OEP на их начало. И все.


Можешь кинуть мне на мыло (feuerrader(at)nm(dot)ru) эту секцию с восстановленными стриппером мутированными байтами? А лучше маленькую (в пару десятков Кб в архиве) прожку распакованную стриппером.
Буду благодарен.

infern0 :: FEUERRADER пишет:
цитата:
Дык подскажи, как сделать лучше.


лучше - в теории это писать анализатор кода который выкинет все барахло и оставит только полезную нагрузку. Проблема усугубляется тем что аспр заходит в call поэтому надо выцепить только инструкции до call (те которые он стирает). Как это красиво сделать - я не знаю. Хотя я восстанавливаю байты одним проходом в айсе по мутированному коду. Следишь за балансом стека и выписываешь на листик команды. Минут 10-15 на все уходит.

FEUERRADER пишет:
цитата:
лучше маленькую (в пару десятков Кб в архиве) прожку распакованную стриппером


тогда дай мне ее запакованную, т.к. самого аспра у меня нет.
или в аську - там поговорим.

nice :: FEUERRADER
В статье я всё допишу и про импорт и про востановление спертых байт

Проект мне тоже интересен, но как это сделать я не знаю :(
Может из Деде попытаться выдрать алгоритм дезассемблирования.
Можно делать так выдрать сначала всё, кроме «основных» мусорных команд jmp и т.п.
потом уже создав более компактный список пройтись по нему разок, и так пока не сведем к минимуму,
да в конечном итоге человек 10 команд и сам может под ОЕП подогнать чем такой цикл проходить




alex221 Где можно скачать взломанный VB RezQ ??? Крутой декомпилятор VB...


alex221 Где можно скачать взломанный VB RezQ ??? Крутой декомпилятор VB программ
nice :: alex221
Взломанная тебе не поможет, мало того, что она армадиллой защищена, так
она ещё и демо, там нет ключевых ф-ий




panikovski может не в тему Наро, посоветуйте какие-нибудь утилиты, для


panikovski может не в тему Наро, посоветуйте какие-нибудь утилиты, для исследования вирусов (чтобы показывали, например, гдеже он в пмяти/файле находится :) ). Ивообще есть форумы такие?
dMNt :: собственно на форуме wasm.ru есть раздел virology, можешь там поспрашивать

AlexZ CRaCker :: panikovski пишет:
цитата:
Наро, посоветуйте какие-нибудь утилиты, для исследования вирусов (чтобы показывали, например, гдеже он в пмяти/файле находится :) ). Ивообще есть форумы такие?


Вще, если о троянах, то лучше юзать РегКлин/РегМон/ФайлМон
+Дебагер.
Я вот как-то на прогу наткнулся, посмотрел ред. ресурсов, и понял, что она пакована. Сразу после запуска полез в реестр, оказалось троян(хотя прога рабочая). Из реестра дернул, полез в МастДай/ТЕМР, а там тоже странные файлы... Короче, LordPE взял, убил процесс... удалил следы...

Не сказал главной фишки: после распаковки прога отказалась работать(без всяких мессагов)

KLAUS :: panikovski

МОжешь себе Jammer поставить, основная его функция работает как фаервол+ показывает, что в реестре прописывается при запуске прог+ изменение файлов (типа размер, запись в файл)...там ещё битком всяких настроек/функций!




ilya Нужна помощь !!! Кто ломал Opera 7.20 ? Поделитесь своими мнениями(На что


ilya Нужна помощь !!! Кто ломал Opera 7.20 ? Поделитесь своими мнениями(На что бряк ставить,переходы и.т.д). А то что-то не получается её зарегерить!!!
RavenFH :: Ломал 7.23 но не думаю что защита отличается, там хеш-функция по обработке введенного кода в принципе если ее переписать то можно генерить код. Введи код, поищи его в памяти, поставь бряк на это место а дальше я думаю разберешься.




AlexZ CRaCker Голосование: Опрос о времени


AlexZ CRaCker Голосование: Опрос о времени ­AlexZ'ViViseKtor'MC707'[ChG]EliTe'Kerghan'diezel'ilya'Gloomy'WELL'KLAUS'Styx'Dred'MozgC [TSRh]'AnteC'Bad_guy'UnKnOwN'­Когда совсем делать нефиг'1
Час в день'2
Четыре'
Более чем 6'
Кажд. пустую минуту.'
Фанатею от Асма(Push EAX, XOR, mov EX,1)'2
Когда есть FreeTime/настроенье'11
­Сколько времени Вы тратите на это дело (крак)? ­
Гость :: А ты сам сколько?

KLAUS :: Каждый раз по разному......чем больше узнаешь, тем меньще!

AlexZ CRaCker :: Эй, чуваки (и чувихи, если есть), как опрос?
Мне вот ваще времени позарез нехватает, просто ж0па... Опять не спать ночью из-за исследованья новой шаровары... Я сам ответил последний вариант.

AlexZ CRaCker :: А, забыл спросить: чё-то слышал, типа выдёргивать валидные серийники - это не по-кракерски и ваще неприлично:-) типа надо патчить. Кто чё скажет?
Скачал крек на wwwhack, т.к. надо было - офигеть. А ломать время не было. Немного нарушил Кракерскую этику :0)
ЗЫ: Мирные жители зверски расстреляли оккупантов!




MsFUCK Нужна статейка по DRx Вобщем-то... это весь вопрос.


MsFUCK Нужна статейка по DRx Вобщем-то... это весь вопрос.
Где можно найти инфу по управления регистрами DRx? Где-то на васме вроде видел... ни как не найду... помогите кто может
MsFUCK :: .... Ждать пришлось долго, изучил по СоФТАйсу....
Другой вопрос (или другие два вопроса...):
- Будет ли олли работать если перехвачено первое прерывание? Если да, то КАК?
- Как внутри прерывания (то есть фактически в ring0) найти контекст приложения?




Гость Спор о браузерах Хочется узнать ваше мнение о наших любимых браузерах, о


Гость Спор о браузерах Хочется узнать ваше мнение о наших любимых браузерах, о том, кто чем пользуется, о примочках к ним, о недостатках и т.д. и т.п. и др. и пр.
Гость :: А также хочется узнать побольше о написании плагинов к IE, в частности, блокировщика всплывающих форточек.
-------------------
у меня стоит IE6

odIsZaPc :: Есть такой браузер Opera...

GRADY$ :: MyIE2 Rus http://www.myie2.ru тоже не плохо. Там всё есть (плагины,блокировщик всплывающих форточек и т.д)

Гость :: odIsZaPc пишет:
цитата:
Есть такой браузер Opera...


А у тебя какой браузер? Опера? Какой версии?

DOLTON :: Opera 7 - the best!!!

Гость :: А я все же решил перейти на MyIE!

UnKnOwN :: Гость
Ну и зря я вот сижу на опере 7.23 и всё летает быстрее самолётов , не знаю отчего зависит

captain cobalt :: Opera 7.23

Преимущества: (перед ie-derived)

Одной кнопкой можно включить\выключить отображение картинок.

Двумя кнопками можно включить\выключить куки, жаваскрипт,
поп-апы, звуки, рефереры.

Интерфейс на основе gestures позволяет повысить эффективность
работы и освободить экран от панели с кнопками «назад», «обновить»...
Особо можно отметить вид клика «open in background page»,
который в разы увеличивает эффективность чтения форумов,
что особенно заметно при повременной оплате интернета.

captain cobalt :: Плюс баннерорезка собственного сочинения

Гость :: captain cobalt
наверное ты MyIE не устанавливал!
Там все это есть! Незнаю только насчет клика «open in background page» Что это такое вообще?

Гость :: И причем все БЕСПЛАТНО! Никаких тебе кряков-хаков!

Bad_guy :: Вот такие любят браузеры посетители CRACKL@B:
Browser - Hits
MSIE 6.0 - 438
Opera 7.23 - 103
MSIE 5.0 - 61
MSIE 5.01 - 32
MSIE 5.5 - 29
Opera 7.03 - 10
Opera 7.21 - 6
Opera 7.22 - 5
Opera 7.11 - 5
Opera 7.20 - 3
Opera 6.05 - 3
Opera 7.10 - 2
Opera 7.01 - 2
Opera 7.50 - 1

Gloomy :: У меня в Опере форум вообще не работает, после отправки сообщения появляется мессага что сообщение будет отправлено а появляется оно только через пару месяцев

AlexZ CRaCker :: DOLTON пишет:
цитата:
Opera 7 - the best!!!


‹B›СОГЛАСЕН!‹/B›

И ище как-то получилось, что у меня меню «Кодировка» и «Быстр.Настройки» оказались как родительские(т.е. после меню «Справка») меню. Офигеть удобно, но потом исчезли. Наврн. русификатор такой был клёвый, а потом поменял.
А мышка в Operе - блеск!

Kerghan :: Bad_guy пишет:
цитата:
Opera 7.50 - 1


я как всегда последний
ЗЫ а все-таки 7.23 была лучше

GL#0M :: Gloomy пишет:
цитата:
У меня в Опере форум вообще не работает, после отправки сообщения появляется мессага что сообщение будет отправлено а появляется оно только через пару месяцев


А в мозилле ваще появляется, что форум не поддерживает этот броузер... поэтому я и отношусь к тем 29, что используют ie 5.5 :(

RavenFH :: А еще в Опере есть такая фишка без которой я уже жить не могу
Движения по управлению страницами
Действие Способ выполнения
Открывает новую страницу
Метод 1: удерживая правую кнопку, переместите мышь вниз
Метод 2: двойной щелчок по рабочему столу программы или по панели страниц
Копировать страницу Удерживайте правую кнопку, переместите мышь вниз, затем вверх
Восстановить максимальный размер окна или развернуть его Удерживайте правую кнопку, переместите мышь вверх, затем вправо
Свернуть страницу Удерживайте правую кнопку, переместите мышь вниз, затем влево
Закрыть страницу
Метод 1: удерживая правую кнопку, переместите мышь вниз, затем вправо
Метод 2: удерживая правую кнопку, переместите мышь вправо-влево-вправо

Гость :: ну, ворон, если к таким мелочям придираться, то MyIE тоже тут не уступает:
все мышиные действа настраиваются в опциях




DiveSlip MP3 Collection Manager. Скачать можно по ссылке


DiveSlip MP3 Collection Manager. Скачать можно по ссылке http://www.softodrom.ru/win/get.php?id=4690 (полметра)
Программа запакована (похоже на UPX, но PEiD не определил), в незарегистрированной версии музыкальная коллекция не должна превышать 500 песен, для регистрации необходимо ввести name и Code (20 символов). В принципе там все достаточно прото, но вот с помощью части кода (8 символов) определяется вызов процедуры, то есть если сократить, то:
eax=40D89CC7 xor *восемь символов вашего кода* xor 44C1D37A7
call eax,
Первое число, скорее всего зависит от введенного Name, но я регистрировался все время под одним и тем же ником. Последнее не отчего не зависит.
После введения Name и Code эти данные заносятся в реестр, а потом при следующей загрузки проверяются. В принципе все части кода хранятся в открытом виде, но вот эта часть никак не узнать.
Я над ней уже два вечера колдую, поэтому очень хочется сломать, но видимо сам не смогу...
XoraX :: вроде бы nice отламывал ее... спроси...

dMNt :: hxxp://ldx1.web1000.com/m...3cm.v0.992.keygen.KoN.zip

2 AnteC: стукнись в асю 1999389




infern0 2 Shell есть разговор.


infern0 2 Shell есть разговор.

зы: мозг, сорри, но по другому я его не найду...




[ChG]EliTe Мальенький вопрос про SuperBPM Не запускаеться :(


[ChG]EliTe Мальенький вопрос про SuperBPM Не запускаеться :(
Can’t load \\.\SuperBPM.VXD
Подскажите...
P.S. SuperBPM.VXD лежит в папке с SuperBPM
MC707 :: Дык разве VXD под 2k/xp грузится?

[ChG]EliTe :: MC707 пишет:
цитата:
Дык разве VXD под 2k/xp грузится?


Хм.... :(
Подскажите где SuperBPM for NT взять че то все перерыл не могу найти....

MC707 :: Где-то была тут тема про него, поищи. Сам айсом не пользуюсь уж давно, поэтому этой самой штуки нету.

[ChG]EliTe :: Я знаю что ты вроде как любитель Оли? а ты ей ASProtect 1.23 RC4 распаковывал...?

XoraX :: вполне реально

[ChG]EliTe :: Эх... кто бы мне помог....
Единственное что имеем это http://gl00m.fatal.ru/art/aspr13.html но для 1.23 RC4 по коду только самое начало совпадает...
а дальше темный лес.... если ктонить согласиться помоч могу все в подробностях описать что делаю....

Гость :: [ChG]EliTe пишет:
цитата:
вполне реально


Поможешь в общем деле?

Runtime_err0r :: [ChG]EliTe

цитата:
Подскажите где SuperBPM for NT взять че то все перерыл не могу найти....


_http://www.zone.ee/Runtime_err0r/superbmpfornt.zi p

[ChG]EliTe :: Runtime_err0r
ОК! Спасибо!

MC707 :: [ChG]EliTe пишет:
цитата:
а ты ей ASProtect 1.23 RC4 распаковывал


Распаковывал уже :), недавно научился. Высшие версии со спертыми байтами еще нет, может просто руки не доходили, ну полюбому дождемся статьи nice’а

[ChG]EliTe :: MC707 пишет:
цитата:
ну полюбому дождемся статьи nice’а


Даже с тем что уже написано nice (т.е. начало статьи) у меня уже проблемы.... :( т.к. ручным способом нашел 2 возможноых OEP и незнаю какой из них правельный и есть ли он среди них вообще... а автоматический можно сказать вообще не работает причем именно на этой проге (См. http://cracklab.fastbb.ru...27-000-0-0-0-1078881144-0)




sanek Я опять про DLLку. Кто-нибудь....... Вопрос таков. В Dll зашито


sanek Я опять про DLLку. Кто-нибудь....... Вопрос таков. В Dll зашито ограничение на кол-во вводимых объектов причем когда обекты превышают допустимое кол-во вылетает предупреждение о превышении и при следующей попытки нанести обект на слой предупреждение не появляется но и объекты не добавляются и не убиваются т.е. где-то произошел запрет на любое редактирование. Хожу вокруг да около но выловить откуда идет запрет не могу (мозгов не хватает). Убрать предупреждения о привышении легко но запрет на редактирование никак.
Не проходите мимо програмка с исходниками Delphi VB6 и контролами. Может пригодиться ВСЕМ ИНТЕРИСУЮЩИМСЯ.
Отсюда можно взять дистрибутив http://www.politerm.com.ru/download.htm
РЕАЛЬНЫЕ КРАЦКЕРЫ ПОМОГИТЕ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
если кто возмется. искать в ZuluLib.dll подробности «моих типа изысканий » опишу позже.




DillerXX Помогите ламеру.... Я ламер ПОЛНЫЙ т.к. софтАйс сегодня утром только


DillerXX Помогите ламеру.... Я ламер ПОЛНЫЙ т.к. софтАйс сегодня утром только скачал :) Ну так вот накачал КракМи’фов и появились вопросы. Короче нашёл место где совершается безусловный переход (jz) а как пропатчить не знаю (вы не смейтесь) Ну и как заменить мне jz на jmp? Я и таблицы с кодами не знаю (где взять-то?). И адреса по которому надо патчить... Там софтАйс вроде показывает адрес в файле а я HexEdit’ом открыл а там ноль... Чё такое? И ваще, можт есть крекеры из Саратова(ой, мля, как сомневаюсь!!!)??? Спасиба за помошь. Только не посылайте на*** и не смейтесь...
__cr__ :: Прочитай FAQ Мозга:
-----------------------------------------
http://mozgc.com/faqversion10.htm
------------------------------------------

И еще: скорее всего тебе будет удобнее пользоваться w32dasm’ом. С wasm.ru (в инструментах) можешь скачать w32dasm и патч к нему (который позволяет патчить прямо в w32dasm’е, почти отпадает необходимость использовать Hex-редактор и к тому же так получается намного быстрее).

Kerghan :: DillerXX
пожалуй лучше взять OllyDbg там все куда нагляднее чем в айсе, и тебе будет куда легче понять азы
...ну и конечно же читать и читать и ... ... статьи на crackl@b’е

smallcracker :: берёшь hiew загружаешь свою программу туда затем жмёшь F4 далее выбираешь «decode» , потом жмешь F5 «ищещь строку которую надо заменить» находидишь, жмёшь F3 меняешь что надо ,потом жмёшь F9 а потом F10 -вот и всё программа пропатчена

__cr__ :: 2smallcracker: если патчить, то делать это в хекс-редакторе не удобно - долго слишком. Если вот hiew использовать одновременно и как дизассемблер, то это еще терпимо.

Вообще действительно можно олли использовать, так как там патчить уще удобнее чем в w32dasm’е.

AnteC :: Не подскажите у меня одного такой глюк в W32Dasm’e v10 by Killer:
При QuickEdit’e окно едита прозрачное видно только рамку :( юзаю в WinXp

Mario555 :: __cr__ пишет:
цитата:
Вообще действительно можно олли использовать, так как там патчить уще удобнее чем в w32dasm’е.


Ещё бы... Мне даже вспоминать противно этот кривой патчер из W32Dasm’а. Olly рулит.

__cr__ :: Я просто вспомнил, как меня напягало каждый раз открывать hiew, для того чтобы пропатчить =)
А про олли я тогда не знал (давно это было =))
А так, конечно, Olly - рулез полнейший, просто мне кажется, что новичкам все-таки w32dasm попроще.

DillerXX :: Я не понял как в Олли ставить брейкпойнты! (не смеяться!!!)

DillerXX :: И ещё как сохранить пропатченный файл? А то я всё пропатчил, протестил - работает, а как теперь сохранить? (в Олли)

WELL :: DillerXX пишет:
цитата:
Я не понял как в Олли ставить брейкпойнты! (не смеяться!!!)


F2

Kerghan :: DillerXX
или два раза кликнуть по строке на которую хочешь бряк поставить, либо в командной строке «bp адрес» (без ковычек конечно)

а сохранять пропатченный - по правой почке и Copy to executable-›All modification ну а дальше сам разберешься

DillerXX :: Спасиба!!!! Уже какую-то прогу крякнул!!!! УРЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
А в Олли незя сделать патч, а не просто ехе-шник?

dMNt :: мона, давишь A и пишешь код своего патчера

DillerXX :: Ты прикольнулся или правда?
Короче уже и вторую прогу поломал (УРАААЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!), но она, с*ка, перестала использовать руссифицированную длл!! Т.е. она сначала смотрит на наличие длл и если она есть, использует язык из неё, а если нет то всё по английски. Ну так она перестала её использовать!!!! Чё такое? Короче там был вызов EnableWindow и я его заменил на NOP (так надо), а за ним Олли сам изменил несколько сточек тоже на НОП. Ну вот короче делаю ехе-шник и Олли меня предупреждает что там хрень какая-то. Ну я сказал чтоб всё равно изменяла. А когда запустил, она на английском. Чё за хрень????

DillerXX :: Ты прикольнулся или правда?
Короче уже и вторую прогу поломал (УРАААЯЯЯЯЯЯЯЯ!!!!!!!!!!!!!!!!!!!!!), но она, с*ка, перестала использовать руссифицированную длл!! Т.е. она сначала смотрит на наличие длл и если она есть, использует язык из неё, а если нет то всё по английски. Ну так она перестала её использовать!!!! Чё такое? Короче там был вызов EnableWindow и я его заменил на NOP (так надо), а за ним Олли сам изменил несколько сточек тоже на НОП. Ну вот короче делаю ехе-шник и Олли меня предупреждает что там хрень какая-то. Ну я сказал чтоб всё равно изменяла. А когда запустил, она на английском. Чё за хрень????

DillerXX :: И чё ещё за хрень: короче W32Dasm пишет адреса и отсчёт начинается с 00101000. Короче запускаю софтАйс ловлю вызов hmemcpy а там адреса с 0001 начинаются!!!!!!! ЧЁ ЗА ХРЕНЬ?!!?!?!??! Ведь до этого всё нормально было: адреса и в Дасме и в Айсе одинаковые быле а щас нет. Вот думаю, может потому, что файл большой (1.5 Мб), или чё... Почему это?

KLAUS :: DillerXX
А прога не запакована?

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ CRaCker :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

AlexZ :: Здрасте всем, КрЯкеры!
Вобще, от момента, с которого у меня появилась мысль ломать проги до первой сломаной проги разница была - неделя(Так что я оч. упрямый/упорный.). Щас на мне ~ПЯТЬ крякнутых прог и пару патчей + несколько выдернутых SN, и уже не чуствую себя ламком, НО ВОТ НАТКНУЛСЯ НА ПАКЕРЫ/ПРОТЕКТОРЫ и... заткнулся на них. В статьях по распаковке вручную есть много непонятного. Вот объясните: Что такое ОЕР и вобще че с аспром долбаным делать? (за аспр надо руки поотрывать!)

DillerXX :: KLAUS пишет:
цитата:
А прога не запакована?


Ты про какую спрашиваешь, которая длл не использует или где адреса другие? Если про длл, то я не знаю, думаю что нет. Она слишко редкая чтобы её защищать (и для узкого круга людей).
А если про адреса, то тоже думаю что нет.

DillerXX :: Как мне сделать так, чтобы в софтАйсе начало адресов проги было 00401000, как в W32Dasm’е и Олли???

KLAUS :: DillerXX

Скорей всего прога запакована, а чтоб это узнать скачай какой-тить файл анализатор
(pe-scan, PE-ID и т.д), если они выдадут что прога запакована тем-то тем-то, тебе придётся его распаковать, и тогда адреса станут одинаковыми, т.е как в W32Dasm’е и Олли!!!

DillerXX :: Да не, у меня уже ваще херь началась: теперь адреса в СофтАйсе не совпадаю с В32Дасмом и Олли в любой проге!!!!! Т.е. я теперь не могу ставить брейк на адреса (в СофтАйсе)!!!! Пытался калькулятором высчитать - нихера! Вроде всё прально считаю а адреса не те!!! Чё у меня за херня началась с СофтАйсом??? Ведь сначала все адреса совпадали!!!! Помогите плз!!!!!!! Я думаю, должен быть какой-то параметр в Айсе...

DillerXX :: И вот ещё чё: при анализации проги в Олли у меня в 75% прог он виснет (на 98). Чё такое? Можт патч какой есть?

KLAUS :: Проверь то, что тебе сказали!

DillerXX :: Не, ну так почему у меня сначала ареса все совпадали (во всех прогах), а теперь нет??????

Ra$cal :: У меня в olly нет пункта сохранить в исполняемый (v1.1 по-моему)

Ra$cal :: Точнее v1.10 Step 2

DillerXX :: Да ну блин!!!!!!!! Крякеры вы или кто????? Чё вы мне ничо объяснить не можете???? Я вчера ваще только одну программусломал из-за софтАйса !!!!

MC707 :: DillerXX
Зачем психовать? Виснет Олли - ты первооткрыватель такого глюка. И скорее всего дело тут не в Олли (хотя хз, у меня стоит 1.10 б1). Переустанови винду. Под корень. Очень рекомендую.
З.Ы. Мы кстати тут не обязаны объяснять ничего: DillerXX пишет:
цитата:
Крякеры вы или кто????? Чё вы мне ничо объяснить не можете????


Ra$cal
Не там ищещь. По коду правой клавишей крысы жмешь и там уже copy to exe...

infern0 :: DillerXX пишет:
цитата:
Да ну блин!!!!!!!! Крякеры вы или кто????? Чё вы мне ничо объяснить не можете???? Я вчера ваще только одну программусломал из-за софтАйса !!!!


поосторожнее с заявлениями. А то тебе просто будет предложено отправится в дальнее путешествие с сексуальным уклоном.

AlexZ CRaCker :: DillerXX пишет:
цитата:
И чё ещё за хрень: короче W32Dasm пишет адреса и отсчёт начинается с 00101000. Короче запускаю софтАйс ловлю вызов hmemcpy а там адреса с 0001 начинаются!!!!!!! ЧЁ ЗА ХРЕНЬ?!!?!?!??! Ведь до этого всё нормально было: адреса и в Дасме и в Айсе одинаковые быле а щас нет. Вот думаю, может потому, что файл большой (1.5 Мб), или чё... Почему это?


Есть такая фишка как виртуальный адрес... Кстати мне тоже интересно о нем узнать, ато знаю что он начинается с ».» (точки).

Блин, и кто только стока сообщений от моего имени навсавлял?

AlexZ CRaCker :: DillerXX пишет:
цитата:
в Олли у меня в 75% прог он виснет


Я юзаю v1.09d и не жалуюсь(там все есть!)
infern0 пишет:
цитата:
с сексуальным уклоном.


Прикольная шутка! А псих желательно подавлять...

MC707 :: AlexZ CRaCker
лол однозначно. ноу комментс.
Почитай статью с васма «Об упаковщиках...» Там много сказано насчет VA и RVA. Это и Дилера тоже касается в первую очередь

AlexZ CRaCker :: Извиняйте, не врубился....
MC707 пишет:
цитата:
Почитай статью с васма «Об упаковщиках...»


Чё неу коментс (о чем именно?), и Дилеру понятно станет.

MC707 :: 1. от твоего имени навставлял ты сам
2. ».» ставится только в hiew, чтоб получить VA, без точки будет RVA. Есть еще и offset. Вот в той статье и почитай насчет этого

DillerXX :: AlexZ CRaCker пишет:
цитата:
Я юзаю v1.09d и не жалуюсь(там все есть!)


Я тоже юзаю эту же самую версию, но у меня виснет при анализации (в одной проге на 1,9% в другой на 80%).

MC707 пишет:
цитата:
Почитай статью с васма «Об упаковщиках...» Там много сказано насчет VA и RVA. Это и Дилера тоже касается в первую очередь


Ну я же уже говорил, что в любой проге (полюбому без упаковки). А если ты на счёт ваще всей статьи, то там инфа полезная. Кстати теперь оказывается, надо запустить прогу, затем поставить брейк (в Айсе) на hmemcpy, нажать на Ф12 раза 4 и тогда адреса будут нормальные. Мндя. Прикольно.




Ер


Ерёмин Александр Нужна ваша помощь! -----КРЭК или ВЗЛОМ ПРОГИ Swishmax------ Помогите люди добрые взломать прогу Swishmax!
Может какой крэк к ней есть или же что нибудь подобное!
Заранее благодарен!
E-mail: Erema@vens.ru
Сайт: http:\\Seam2003.narod.ru




Гость Убьем своих соседей Этот п* е* сосед кот. у него руки из п* растут...


Гость Убьем своих соседей Этот п* е* сосед кот. у него руки из п* растут что-ли - нашлось мозгов дергнуть за рубильник в коридоре - отрубил е* п* энергопоток моей крепости! Убьем своих соседей е* кот. нас достают!
MC707 :: Гость
А нас прежде всего не коты с соседями достают, а гости разные, которые не в тему постят

Гость :: MC707 пишет:
цитата:
гости разные, которые не в тему постят


Просто наболело...

Гость :: Кстати я не о котах. Это сокращение такое :)

Гость :: Ладно, больше не буду таких глупостей писать... Удалите эту тему!!!




alex221 Встроенный интерпритатор скриптов Для защиты от взлома хочу встроить в


alex221 Встроенный интерпритатор скриптов Для защиты от взлома хочу встроить в свою программу интерпритатор скриптового
языка. К примеру некоторые функции хранятся в виде закриптовоного текста.
Для расшифровки кода функций нужен ключ, мне кажется сломать такую защиту без
знания ключа не реально... А вы как думаете?

alex221 ::
Ну раз все молчат, значит это действительно хорошая защита...

У меня давно была идея, написать собственный виртуальный криптопроцессор.
Хочу реализовать его в виде «out-of-process ActiveX EXE Server», он будет
запускатся в виде фонового процесса в NT. Клиенты - любая COM или .NET
совместимая прога, или даже скрипт в пределах сетевой досягаемости DCOM.
У криптопроцессора будет набор виртуальных портов(интерфейсов), клиент
инициализируясь после запуска, посылает запрос на соединение к серверу,
передает серваку:

1) Ключ пользователя.
2) CRC клиента созданный программистом.
3) Зашифрованный текст скрипта, или адресов вызовов процедур.

Сервер сравнивает реальный CRC и CRC заданный программистом, если они
не совпадают, то отказывает в дальнейшей обработке клиенту, посылая ему
сообщение: «Ты взломан!». Если CRC совпадает, сервер расшифровывает
скрипт ключом пользователя и пытается выполнить скрипт, если вместо
скрипта получился мусор, клиенту посылается сообщение: «Неверный ключ
пользователя!». Если скрипт валидный, то сервер, начинает вызывать
методы клиента, в определенной последовательности инициализируя его
внутренние структуры данных, т.е. управляет работой клиента в
соответствии с расшифрованным скриптом...

К сожалению, все это очень сильно затрудняет программирование клиента,
ведь надо прогу писать, и думать как бы при этом еще и сервер не обрушить.
Под WIN 95/98 сильные тормоза идут, под NT все нормально...

:)

Гость :: alex221 пишет:
цитата:
Ну раз все молчат, значит это действительно хорошая защита...


Думаю, просто идеальной неломаемой защиты нет, но идея вобщем неплохая. Успехов!




RavenFH Опять Novex :( Возился целую неделю с одной прогой, сил уже нет -


RavenFH Опять Novex :( Возился целую неделю с одной прогой, сил уже нет - система Эгида-2, работают четыре программы вместе общаются не разобрался как, в одной из них защита гвардантом, работает прога в демо-режиме два часа, потом без объявления войны перестает общатся с оборудованием с которым должна работать. Не упакована, написана на делфях.
RavenFH :: Забыл предупредить инсталяция геморойная, если кто попытается помучить ее, буду благодарен, кстате устанавливает сервер FireBird в сервисах, если все таки кто рискнет ее поставить не забудте его удалить.

infern0 :: а что за оборудование она юзает ?

RavenFH :: Оборудование специфичное подсоединяется к кому, но «прога-драйвер» продолжает общение после окончания демо, интерфейсная прога перестает воспринимать команды, то-есть передавать их «проге-драйверу», этот драйвер реализован на пользовательском уровне(отдельной программой) наверняка будет глючить, но это так о птичках. Добрался я до кода проверок, а там... Короче в этом моя проблемма.




[ChG]EliTe Ковыряние ASPr 1.23 RC4 Reg в Olly Вот ковыряю это прогу уже дней


[ChG]EliTe Ковыряние ASPr 1.23 RC4 Reg в Olly Вот ковыряю это прогу уже дней несколько! Перечитал все статьи что смог найти на это тему!
Вот http://hice.antosha.ru/AsProtect.rar как мне кажеться Абсолютно простая и понятная статья (Кстати СПАСИБО за нее надеюсь скоро ты ее допишешь :), но несмотря на это че то не очень получаеться :О(

Дело в том что и при ручной я вроде добрался до фальшивого OEP, а вот при автоматической распаковке с использованием скриптов прога запускается, а Оля кажет kernell32 :( и скрипт не пишет «Finished!» :( а где обещенный OEP? или SB ?

Причем больше всего меня вводит в ступор именнт спертые быйты
Помогите кто чем может...
Kerghan :: Посмотри в опциях, возможно у тебя стоит крыжик в security/Memory access...

[ChG]EliTe :: Kerghan пишет:
цитата:
крыжик в security/Memory access...


А можно подробнее где именно.... че то не могу найти...

Kerghan :: насчет security я погорячился :-/
Options/Debugging options/Exceptions

AlexZ CRaCker :: Ну, скачал я статейку http://hice.antosha.ru/AsProtect.raк
а тама ХР Винда нужна. Что в ХР НЕНАВИЖУ, так то, что всё красиво настолько что аш неудобно. Чисто с первых 20 минут юзанья впечатленица: от ламков все системные настройки так далеко запрятаны? Ну не врубаюсь я когда ламки, которые текст в Ворде пробелами(!) форматируют ставят ХР(Винду). Это ни на ково не наезд, просто я непонимаю, че хорошего в ХР. Единственное, это есть унпакеры клёвые под ХР.

[ChG]EliTe :: Я тоже ХР не люблю у меня Win2k но как это относиться к сути вопроса?

Подскажите, направте на путь истенный, т.к. сколько перечитал статей не одна толком не помогла :(
Помогите найти OEP и SB...

вот сама прога: _http://nhjqfy.narod.ru/lifetree.rar

Заранее благодарен! А то я уже с ума схожу...

[ChG]EliTe :: Основные недоразумения :):
Основная фишка в 26 нажатиях shift+F9 т.е. за одно нажатия до запуска проги встаем на:
XOR DWORD PTR DS:[EAX],EAX
POP DWORD PTR FS:[0]
POP EAX
В перведущих версиях распаковывал все так оно так но в данном случае у меня:
Прога показывает признаки запуска не после 27 нажатий как обычно бывает а после 32... но и после 32 она не запускаеться полностью... стопиться на сплеш скрине...
Выше написанный код находиться не на 31 нажатии как можно было бы предположить а на 29-том...

вообщем я думаю это из-за SB.. хотя и не уверен.. вообщем я в растеренности :(
Помогите пожалуйста научиться распаковывать аспр со столенами С меня Пиво!

nice :: AlexZ CRaCker
Меня просто бесит, что народ брызжит слюной, обзывает всех ламаками, а сам даже не может допереть, что ХР совсем не обязательна!!!

Парень если ты такой умный напиши статью сам, работать в ворде и форматировать текст много ума не надо, такое форматирование-значит так надо было!

Ты бы по делу чего-нибудь написал, а то начни ещё рошибки в синтаксисе выискивать и про поля чего-нибудь сумничай!

Даже делать ничего не охота после такой лажи!!!!


[ChG]EliTe :: nice
Ты не обращай внимания «Умные» пусть умничают дальше :) А вот для нас LaМеРоV именно такие статьи и нужны! Хотя у меня ничего не получилось (хотя мне кажеться что все дело все таки именно в этой проге ну или в моей hands.dll) статья все равно написано Отлично! и полностью соотведствует названию! Step by Step!

Лично TO nice
Помоги с распаковкой проги плз... А то я уже в отчаянье За мной не заржавеет!
Желательно не просто именно вот этоу прогу распаковать, а научиться.....Ну сам понимаешь..

-= ALEX =- :: nice не расстраивайся брат, статья нормальная, молодец, что написал. я вот тоже подумываю оллю начать изучать :)

MC707 :: [ChG]EliTe
Не мучайся,
1) статей про SB и аспр в частности много
2) дождись окончания статьи nice-a
3) воспользуйся стриппером 2.07ф и посмотри как это все делает он.

nice
Отлично! Так держать.

nice :: [ChG]EliTe
Держи: http://hice.antosha.ru/dumped_.rar

Действительно не стандартный случай...
У меня скрипт тоже не сработал, пришлось по Shift+F9

MC707
Постараюсь сегодня закончить.

Может убрать там про ХР? А то правда чего доброго народ ХР начнет ставить ;)

[ChG]EliTe :: nice пишет:
цитата:
Держи: http://hice.antosha.ru/dumped_.rar

Действительно не стандартный случай...
У меня скрипт тоже не сработал, пришлось по Shift+F9


Спасибо большое! nice расскажи пожалуйста Хотя бы примерно! или я так тупицей и помру...

[ChG]EliTe :: Кстати из моих 4-х OEP самый ближний к верному был 5DE338 (это правильный но без SB ? или просто так совпало?)
Кстати именно его я нашел точно следуя твоим указаниям в статье!

MC707 :: nice пишет:
цитата:
Постараюсь сегодня закончить.


Круто!!!

цитата:
Может убрать там про ХР? А то правда чего доброго народ ХР начнет ставить ;)


Оставляй как есть, кому нужно - тот поймет правильно

з.ы. сообщи когда закончишь

[ChG]EliTe :: Жду не дождусь релиза статьи... Чуть ли не минуты считаю! Nice Кинешь линк в этой теме!
P.S. Если я прочитав статью сам эту прогу распакую, ~ буду с меня Пиво!






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS