Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

TankMan Восстановление импорта... не понятны некоторые функции Я тут по...


TankMan Восстановление импорта... не понятны некоторые функции Я тут по туториалу (нашел я его всетаки :) ) распаковывал файл... правда не тот что был в туториале... поэтому возникают несколько вопросов... когда я восстанавливал импорт imprect как положенно не определил несколько функций, насколько я помню, их нужно в ручную выбирать из списка, а для этого нужно определять что же за функцию туда нужно поставить, методом простого анализа возвращаемых данных... вот например если функция возвращает адресс по которому находится строка, с путем к файлу, то значит это - GetCommandLineA.... и все... это все что осталось в моем мозгу, по остальным возвращаемым данным я не могу вспомнить что за функция возвращает такое же :(....
может есть какой-то способ определения какая именно функция должна стоять на месте не определенной функции?(кроме того что предложил(повторил) я), или может есть статья с всевозможными вариантами? или еще чего-нибудь?
А если нет, то скажите что за функция возвращает:
FFFFFFFF - ?
80C800C0 -?
0A280105 - ?
И еще, откуда брать ворованные файлы? или они всегда в разных местах? или есть алгоритм их поиска?

nice :: TankMan
Эти ф-ии указывают в небо, тебе нужно их УДАЛИТЬ
00хххххх - а вот такие имеет смысл востанавливать...

DiveSlip :: FFFFFFFF - GetCurrentProcess
0A280105 - GetVersion

MoonShiner :: TankMan пишет:
цитата:
80C800C0


А вот это вродь пустышка... Но точно не уверен, надо зырить

TankMan :: А что вместо нее нужно ставить? LockResource? или еще чего?

TankMan :: Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error...:(... отловил этот messageboxa, но ничего от туда не нарыл, функция чертзнает откуда вызывается :(... наверное он проверяет на распакованность?... а как это можно отловить? я думаю есть какие-то стандартные уловки на поиск того места где это проверяется?

nice :: TankMan
Что это за программа? Чем запакована?

DiveSlip :: А можно ли с помощью OllyDbg восстановить импорт? Имеется ввиду вручную определить те функции, которые не распознал ИмпРек или Revirgin (например, как в Айсе, ставя бряк на адрес и смотря, что является результатом функции).

nice :: DiveSlip
Смотришь CTRL+g и вводишь адрес ф-ии

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

nice :: TankMan
Дома гляну, кажется я её распаковывал

Mario555 :: TankMan пишет:
цитата:
Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error


У меня вроде никакой ошибки не выдавал... Хотя точно уже не помню, давно было.
Ты байты то восстановил ?

00414AB7 ›/$ 55 PUSH EBP
00414AB8 ¦. 8BEC MOV EBP,ESP
00414ABA ¦. 6A FF PUSH -1
00414ABC ¦. 68 906F4300 PUSH dumped_.00436F90
00414AC1 ¦. 68 88874100 PUSH dumped_.00418788
00414AC6 ¦. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00414ACC ¦. 50 PUSH EAX
00414ACD ¦. 64:8925 000000›MOV DWORD PTR FS:[0],ESP
00414AD4 ¦. 83EC 58 SUB ESP,58
00414AD7 ¦. 53 PUSH EBX
00414AD8 ¦. 56 PUSH ESI
00414AD9 ¦. 57 PUSH EDI
00414ADA ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

TankMan :: Да дело в том, что она запускается, и просит выбрать язык интерфейса, т.е. стартовала она нормально, но вот после того, как язык выбран, она вылетает :(

А кстати, а вот эти байты, что ты дал, они всегда одинаковые?

Madness :: TankMan
Ссылку на reg_name поправил?

DiveSlip :: Madness , а можно про reg_name поподробнее? Просто у меня тоже иногда распакованные программы не запускаются, хотя вроде все правильно восстановил, и я никак не могу понять почему.

Madness :: DiveSlip
В программе есть адрес, по которому хранится offset имени зарегистрированного юзера или нуля в противном случае. Этот адрес указывает на код аспра, который после распаковки будет отсутствовать, соответственно получится access violation. При распаковке с валидным ключем, изменении оффсета имени, динамической раскриптовки кода возможно падение при этой самой распаковке, причина в 1 бите, из-за которого прога опять-таки лезет в код аспра, лечится его изменением и выдиранием этих самых кусков.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

DiveSlip :: А как эти куски обнаружить? Как узнать адрес, где хранится имя юзера?

Madness :: DiveSlip
Ищи апи аспра.

DiveSlip :: Madness , спасибо, правда я не понял, что такое апи аспра.

-= ALEX =- :: TankMan прочитал бы хотябы мою статью www.alex2kx.nm.ru/aspr123rc4unp.html
P.S. мож кто статью подправит для сайта cracklab ? а то влом самому...

Madness :: DiveSlip
Скачай аспр, да в справке поищи что-нить типа GetRegistrationName или че-нить в этом духе.

TankMan
Насчет импорта, кста, http://kpteam.com/index.php?show=tools




DiggeR CRC KANAL в PEiD нашел


DiggeR CRC KANAL в PEiD нашел
CRC32::4B658::44B658
и сслыки на разные адреса
эти адреса объединяет
pop eax
mov dh,44
подскажите как избавится от проверки
XoraX :: ох, не доверяю я этому каналу...

mnalex :: XoraX
ИМХО недоверяешь - это твое дело, но подсказать то, вообще, могбы, а? Вопрос то - как избавиться от CRC...

Nitrogen :: ну а с чего ты взял, что crc юзается именно для проверки crc оригинальной программы?.. с таким же успехом юзается для регистрации..

p.s вопрос вообще некорректный..

-= ALEX =- :: некорректный вопрос, что блин значит подправить CRC ??? можно только, если значение CRC используется для дешифровки, подсунуть реальное значение..., или ваше убрать проверку, если CRC в дальнейшем нафиг не нужно




LT Офтоп нужный. Приветствую вас други мои. Приношу свои извинения за столь...


LT Офтоп нужный. Приветствую вас други мои. Приношу свои извинения за столь долгое отсутствие - жисть жестянка заставляет. Ребята тем кому высылал программы Stamp 0.84 и Kassy прошу выслать их мне же affect @ pisem.net Пацаны , заранее благодарен.
LT :: Пацаны ну че добра не помним? :)

-= ALEX =- :: мне никто не высылал, поэтому тебе высылать мне нечего :)

Kerghan ::
цитата:
30.01.2004 04:17


просто порядочные люди раньше двенадцати не встают , как раз в это время они ложатся
щас кину

LT :: Спасибо братан, получил. Осталось только Kassy у кого-нибудь выпросить.

Bob :: LT
Держи, KASSy. Хотя ты мне ее невысылал




DEMON IDA Pro Я никак не могу дизассембилировать прогу. Она мне пишет :...


DEMON IDA Pro Я никак не могу дизассембилировать прогу. Она мне пишет : «Can’t create file!’. Что мне делать???
odIsZaPc :: DEMON
W32DAsm попробуй....

odIsZaPc :: DEMON
А она покована?

XoraX :: odIsZaPc пишет:
цитата:
W32DAsm попробуй....


, не сравнивай говно с танком

odIsZaPc :: XoraX
А кули делать, если не канает?

DEMON :: odIsZaPc пишет:
цитата:
DEMON
А она покована?


В том то и дело что нет!!!

odIsZaPc пишет:
цитата:
DEMON
W32DAsm попробуй....


Да задолбал уже W32DAsm, хочеться чего нибудь новенького!!!

The DarkStranger :: XoraX пишет:
цитата:
не сравнивай говно с танком


LOL

.::D.e.M.o.N.i.X::. :: DEMON пишет:
цитата:
Я никак не могу дизассембилировать прогу. Она мне пишет : «Can’t create file!’. Что мне делать???


В переменных поменяй путь к TEMP, ты я так понял на NT сидишь, а TEMP у него лежит не в папке Windows, а в твоих настройках. Короче путь содержит кирилицу а ида этого не любит. Как только сделаешь путь например c:\temp Ida будет Create file...

odIsZaPc :: XoraX пишет:
цитата:
не сравнивай говно с танком


Это что-ж получается - я проги говном ломал? Плакать буду.... =)

В догонку:

цитата:

Смотри: сидят орел и говно!
1: Ну я полетел!
2: Полетишь, когда подбросят


DEMON :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Как только сделаешь путь например c:\temp


А не подскажешь где ето я тут минут 15 парюсь и не могу найти!!!!

DEMON :: Ну я имею в виду где ето место в настройках????

.::D.e.M.o.N.i.X::. :: Мой компьтер -› Свойства и ищешь Переменные среды...

DEMON :: .::D.e.M.o.N.i.X::.
Большое тебе спасиюо!!!

Ara :: DEMON пишет:
цитата:
Я никак не могу дизассембилировать прогу. Она мне пишет : «Can’t create file!’. Что мне делать???

.::D.e.M.o.N.i.X::. пишет:
цитата:
Мой компьтер -› Свойства и ищешь Переменные среды...

А где это в ХР, что там надо менять,



Влад Как ломануть статистиу в Club Timer 2.3???? помогите пожалста! Как ломануть статистиу в Club Timer 2.3???? помогите пожалста!
а то платят копейки а сами гребут!
DEMON :: Влад пишет:
цитата:
Как ломануть статистиу в Club Timer 2.3


Че это такое, дай ссылку!!! И не забудь написать скока весит порга!!!

odIsZaPc :: Влад
Че ты паришь??? Я уже ломанул этот ClubTimer. Кряк можешь забрать тут:
http://odiszapc.nm.ru/my_...ion_v2.41_by_odIsZaPc.zip
Для начала скачай последнюю версию сей проги:
http://www.ctimer.ru

odIsZaPc :: Влад
И про какую статистику ты там пишешь? Поподробней plz...

DEMON :: odIsZaPc
Он наверное здесь раз в год бывает!!!! Давно пора взять твой кряк и сказать тебе спасибо!!!

DEMON :: odIsZaPc
А че к тебе на сайт нельзя зайти?? написано : » Доступ закрыт»!!!!

odIsZaPc :: DEMON
А там ниче и нету...

Влад :: Статистика это- отчёт который даёт программа в конце дня т. е сколько работал каждый компьютер и сколько денег насидел каждый клиент надо сделать так, что можно было-б исправить отчёт без того что-б переставлять программу....
тоесть надо расшифровать файл отчёта и найти что и где надо испралять... помогите плиз! в долгу не останусь!

Влад :: odIsZaPc
«Че ты паришь??? Я уже ломанул этот ClubTimer. Кряк можешь забрать тут:
http://odiszapc.nm.ru/my_...ion_v2.41_by_odIsZaPc.zip
Для начала скачай последнюю версию сей проги:
http://www.ctimer.ru»
Мне не прогу надо поломать (она у меня давно поломанна)! мне надо что-б я мог исправить статистистику или проще говоря неёб... ать хозяев на деньги!

odIsZaPc :: Влад
Ну это тебе не к нам. Это тебе сюда:
http://nakati-ka-naebu-ka.borda.ru

odIsZaPc :: Влад
Ну что-ж, завтра посмотрю... Но на##ывать нехорошо... =)
А через программу поправить отчет незя?

Влад :: odIsZaPc
Ч-з программу нифига не получиться! у меня нет админского пасса .. мне нужно ломануть статистику которая по идее лежит в файле а fstat
Посмотри пожалста:)

MozgC [TSRh] :: А может легче ломануть админский пасс? =)

odIsZaPc :: Влад
И что конкретно ты там хочешь изменить? какую цифиру? В подробностях

Влад :: odIsZaPc
мне надо ежедневно оттуда вытаскивать пару строчек...
Мне нужно расшифровать этот файл!!!

Влад :: MozgC [TSRh]
Даже при админском доступе статистику менять нельзя

Chirurg :: odIsZaPc
К слову сказать, над краком тебе еще поработать надо. 23 nop-a это хорошо :), но ты обнуляя только процесс killtimer одновременно убил и встроенные в прогу часы.

odIsZaPc :: Chirurg пишет:
цитата:
К слову сказать, над краком тебе еще поработать надо. 23 nop-a это хорошо :), но ты обнуляя только процесс killtimer одновременно убил и встроенные в прогу часы.


Согласен. А на хрен они нужны? Я убил не killtimer, а процедуру его создания...
Че, подправить, чтоль?

Влад :: Блин мне кто-то поможет?

odIsZaPc :: Влад
Ты в подробностях объясни конкретно какую цифру!

odIsZaPc :: Chirurg
Не, не буду править, мне лень... Прога работает, значит все пучком. Не забывай - это КРЯК... Если обнаружать какие неполадки - предется поправить, а пока не буду.

odIsZaPc :: Влад
А как же я тебе ломану-то - еще неизвестно какие различия в формате файлов в версиях 2.3 и 2.4 и есть ли они вообще... 2.4 у меня есть, а вот 2.3 я ХЗ где скачать. Короче - шли на мыло ваш файл fstat.dat и вообще *.dat. Я нашел одну дырку - и у меня есть идея как н@#$ать ClubTimer даже не зная формата файлов. Пока каникулы могу помочь. Мыло внизу.

DEMON :: odIsZaPc
Где ето ты учишся что у тебя каникулы?!

odIsZaPc :: DEMON
В ДВГТУ. Я из далекого Приморья, где не любят Чубайса и ждут воды....
Каникулы до 9-го...
Тока вот я не уверен на 100%, что до 9-го.... Но меня это не сильно колышит... =)

odIsZaPc :: Влад
Эй... Я начал разбираться с форматом файла, поэтому шли скорее то, что я попросил (см. выше).

odIsZaPc :: Влад
Сам попросил и свалил куда-то. Давай быстрее...

Chirurg :: odIsZaPc пишет:
цитата:
Chirurg
Не, не буду править, мне лень... Прога работает, значит все пучком. Не забывай - это КРЯК... Если обнаружать какие неполадки - предется поправить, а пока не буду.


Да, мне без нужды, я ее кракнул, использовав только 2 nop-a и все работает и статистика и часы. Но считаю, что крак, все-таки, не должен портить прогу

odIsZaPc :: Chirurg
И че ты за’nop’ил?

Chirurg :: odIsZaPc
0F03A 075 90
0F03B 0E 90
:)

odIsZaPc :: Chirurg
Мне влом было по WM_TIMER бегать...




Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан...


Yraevtys Вопрос Прогу на запакованность я проверял (PEiD) там только указан С++ ,а что запакована нет.
ВРХ на getwindowtexta и getdlgitemtexta - не срабатывают. Подскажите как найти процедуру проверки на зарегестрированность.
DEMON :: Yraevtys пишет:
цитата:
Подскажите как найти процедуру проверки на зарегестрированность


Найди место где виводиться сообщение о неправильном рег. коде и попробуй его пропатчить. Может получиться!!!

XoraX :: Yraevtys . а прогу не покажешь, да?

DEMON :: Ну покажы нам это детище программистов! Не забудь указать размер и приблизительно что она делает!!!!

odIsZaPc :: Yraevtys
bpx LocalLock
bpx GlobalLock

Yraevtys :: Прога Copy Expert v2.2.1 правда сейчас на сайте www.fadesoff.com есть уже v2.3 , а вообще Cpyexprt.zip -254kb и может делать копии с плохо читаемых CD например с фильмов заменяя плохие сектора не 00000 , а последним считанным сектором, это конечно если прога зарегестрирована. К ней есть много креков в интернете, но правда ни один не подходит.
Я нашел переход, который при замене флага сообщает об успешной регестрации, но потом в главном окне все равно пишет - не зарегестрирована. Как найти проверку на зарегестрированность и что там изменить - посоветуйте?

MozgC [TSRh] :: В версии 2.3 ASProtect...

Bad_guy :: Я ломал какую то версию, у меня остался только ключ, птому как прога мне совсем не понравилась, создай файл.reg ну и запиши туда и попробуй, ну а если и не получится, дизассемблируй ищи в листинге эти пути и так далее и тому подобное.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Fadesoft\Copy Expert]
«SmartAlg»=dword:22df6890
«Optimize»=hex:10,0c,17,c9,e2,2c,3f
«License»=«4054qk07mxcfc3»

odIsZaPc :: Yraevtys
По-моему Bad-Copy Pro лучше...

MozgC [TSRh] :: Ну че кто-нить ченить накопал по поводу версии 2.3? Мы тут с The DarkStranger’ом (блин как долго то ник пишется) покопали и пока глухо...

Runtime_err0r :: MozgC [TSRh]
Ну с распаковкой-то всё просто а вот дальше пока никак
какие там ограничения-то хоть ?

MozgC [TSRh] :: Да не важно какие ограничение, но зарегить никак =) Возможно вообще демка...

Mario555 :: Runtime_err0r пишет:
цитата:
какие там ограничения-то хоть ?


Не сохраняет настройки, некоторые опции недоступны... может ещё чё-нить...

The DarkStranger :: мдя уж MozgC [TSRh] прав я тоже копал ее вместе с ним там такое намученно !!!
короче мы думаем ( я и MozgC [TSRh] ) что это просто demo !!!

Mario555 :: The DarkStranger пишет:
цитата:
это просто demo


Странно... демо и аспр, прям как в анекдоте: презерватив, ещё презерватив... и главное никаких половых контактов...

В Help’е кста вот такая хрень:
1. Launch program. This dialog box will appear:
Click “Purchase”. This will launch your web browser which will open registration’s page. You can to pay via credit card, fax, postal mail, purchase order and phone. Our registrar is Regsoft. Fill in fields in appeared form. Soon you will receive the key.
2. Enter in this dialog box registration key you received by pressing “Key” button.

Yraevtys :: Спасибо за помощь. Прогу Copy Expert 2.2.1 я все-таки запустил.
Раскажите доступно как распаковать проги запакованные ASProtect и UPX.
Распаковщики только Dose работают или как?

MozgC [TSRh] :: Про UPX и другие простые упаковщики читай в моей статье, про ASProtect читай в других статьях это так просто не рассказать..




XoraX изменение заголовка окна дельфовая прога меняет заголовок своего окна,...


XoraX изменение заголовка окна дельфовая прога меняет заголовок своего окна, причем так, что бряки setwindowtexta и setdlgitemtexta не работают.
как еще прога может поменять заголовок?
Gloomy :: XoraX
Функцией SendMessage или PostMessage.

invoke SendMessage,hTheWindowHandle,WM_SETTEXT,OFFSET szWindowCaption,0

Kerghan :: а на фиг тебе?
если не можешь отловить «evalution copy» в заголовке, можешь FindWindow юзать, иногда удобно

XoraX :: Kerghan , вот именно это и не могу отловить... раньше проходило, а вот на той проге не катит... ща заюзаю findwondow.

nice :: XoraX
Hi!
При создании окна надо зерегистрировать его как класс, для этого вызываются:
RegisterClassEx
а потом:
CreateWindowEx - вот эта ф-ия и создаёт заголовок окна.
Строка заголовка ложится в стек пред-пред-последней ;~)

DEMON :: Kerghan пишет:
цитата:
если не можешь отловить «evalution copy» в заголовке, можешь FindWindow юзать, иногда удобно


А у меня FindWindow вообще не катит. Что ето за функция???

Kerghan :: работает так:

push Caption_window
push Class_window(можно узнать с помощью EnBtn WindowJugger etc)
call FindWindow
push new_caption
push eax(хэндл окна полученный с помощью FindWindow)
call SetWindowText

этот код засовывается в лоадер, либо, при наличии мозгов - в инлайн патч

nice
в этом случае имхо окно создается с каким-нибудь левым именем, а потом изменяется

nice :: Kerghan
Не обязательно, я много программ видел, где в ресурсах основной формы было:
Имя программы -Unregistered
:)




Skyer Ida Pro 4.3 и выше. После того, как ссылка на reversing.kulichki.net...


Skyer Ida Pro 4.3 и выше. После того, как ссылка на reversing.kulichki.net стала битой, стало проблематично найти и скачать полную версию Ida Pro 4.3 или выше. Где можно достать?
Skyer :: Упс, сорри, сейчас заметил, что ссылка обновилась и качаю:)

Но перестраховаться никогда не мешает:)

Telex :: Skyer
http://195.128.158.42/~cob/temp/ip45177s.zip

Skyer :: Telex !!!

Уау, спасибо!!!

Telex :: Skyer
На здоровье!




The DarkStranger 2 UnKnOwN блин пришли мне exe’шник очень надо !!! если нету...


The DarkStranger 2 UnKnOwN блин пришли мне exe’шник очень надо !!! если нету так и напиши просто чел у меня ждет !!!
UnKnOwN :: The DarkStranger
Я б тебе с радостью прислал тот ехе @!#$ учий, но во первых у меня нету доступа к инету, и не будет наверно ещё неделю,
а во воторых тот чел который обещал мне этот ехе-шник кудато @!#$ ал, мне его надо бы тоже найти..., ты извени если пообещал, но у меня щас нихрена не получится с этим что то замутить...

The DarkStranger :: UnKnOwN
:( жаль ну как сможешь !!! кинь ок ??? всеравно exe«шник нужен




Bad


Bad_guy мой патч на винрару Короче кому не лень залейте на вские сайты мой патч на винрару - всё ещё работает на новых версиях. даже на 3.30 final rus http://cracklab.narod.ru/dload/wrar3xp.zip А то не прикольно, у меня есть а людям такого добра не хватает (я чувствую).

DEMON :: Спасибо, пашет как миленький!!!!

Telex :: Bad_guy
А что с подписью в нём?

MozgC [TSRh] :: Bad_guy
Ну так сам релизь на всякие cracks.am и т.д. и все смогут найти потом, какие проблемы?

XoraX :: щас народ блин стал привередливый, все ключики ищут...

Runtime_err0r :: Bad_guy

цитата:
А то не прикольно, у меня есть а людям такого добра не хватает (я чувствую).


Да уж - ЛЮДИ ключами пользуются но если тебе так хочется, то я запостю на нескольких форумах

Kerghan :: 2Bad_guy
надпись «я гений, ты-дерьмо» конечно воодушевляет :-\

ну я не о том, в твоем патче как и в большинстве прочих баг:
открой какой-нибудь архив и попробуй добавить туда файл... мелочь а НЕприятно, так что ключик рулит...

Telex
подпись конечно же не пашет

-= ALEX =- :: Kerghan мож поделишься ключом

MozgC [TSRh] :: Интересно как только я всю жизнь без ключей прожил =)

Bad_guy :: Telex
Не работает.
MozgC [TSRh]
Так лучше распространится, чем я один буду.
XoraX
Да, но ещё больше любят свежие версии к которым ключа пока нет.
Я писал в основоном для себя. Лежит у меня он теперь в папке, ставишь новую версию, запускаешь патч и пользуешься, а так по минут 10-20 каждый раз к не очень свежим версиям ключи искать.

Kerghan пишет:
цитата:
надпись «я гений, ты-дерьмо» конечно воодушевляет :-\


А разве это не так ??? Всё, шутка - шутка.

Kerghan пишет:
цитата:
открой какой-нибудь архив


Свой собственный или чужой подписью подписанный или заблокированный ???

MozgC [TSRh] пишет:
цитата:
как только я всю жизнь без ключей прожил


Не понял, ты про рар или нет ?

-= ALEX =- :: Bad_guy да наверное он имел ввиду ключи от хаты...

Madness :: -= ALEX =-
›Kerghan мож поделишься ключом
На большинстве форумов уже давно валяются 2 ключа Phricker’a.

Bad_guy
›Да, но ещё больше любят свежие версии к которым ключа пока нет.
А на этот случай есть разбаниватель. ;)

MozgC [TSRh] :: Bad_guy пишет:
цитата:
Не понял, ты про рар или нет ?


Ну я про электронную подпись.

Kerghan :: -= ALEX =-
да, щас кину, тока после 3.2 разбаниватель нужен
разбаниватель http://m010t.by.ru/KpT-WinRarUnBL.zip тока не пробовал я его пока

Bad_guy
не, я не про подпись, то что она не работает это само собой, не очень то и хотелось...
Если открыть любой архив и перетащить туда файл, то выскакивает наг. Так что это не единственная проверка, там где-то еще есть, щас уже не помню где...

XoraX :: вот валидный ключик для 3.3 если кому надо
_http://download.9down.com...WORKing.Key.File.Only.rar

Telex :: Писал я «Telex» :
цитата:
Bad_guy
А что с подписью в нём?


Стоило отойти на «5 минут» - обвинили в требовании ключа с подписью...
Просто поинтересовался у Bad_guy , может быть в патче был О чудо

-= ALEX =- :: всем спасибо за ключи...

Ara :: Bad_guy пишет:
цитата:
Короче кому не лень залейте на вские сайты мой патч на винрару

А сам исходник можно увидеть?

GL#0M :: Разбаниватель от Madness’а рулит!
Thank YOU!

-= ALEX =- ::

LT :: а я ключиками пользуюсь :)

LT :: эта.. если кому надо, то свистите

YDS Re: LT :: Кейген или ключик? Если кейген, то катит ли он без дополнительной «помощи»?
В этом плане я вот от версии к версии (кажется с 2.90), использую кейген от aZZaZZeLLo, правда с версии 3.00 приходится ему «помогать» и править в Винраре всего один байтик (всегда в одном и том же месте). Зато: всегда в эбауте твое имя и Винрар получается полнофункциональным (включая использование ЭЦП).

YDS Re: LT :: Кейген или ключик? Если кейген, то катит ли он без дополнительной «помощи»?
Я в этом плане от версии к версии (кажется начиная с 2.90), использую кейген от aZZaZZeLLo, правда с версии 3.00 приходится ему «помогать» и править в Винраре всего один байтик (всегда в одном и том же месте). Зато: всегда в эбауте твое имя и Винрар получается полнофункциональным (включая использование ЭЦП).

Madness :: YDS
› (включая использование ЭЦП).
Как раз - исключая, в этом то и фишка.
Проверь подпись Рошаля на дистрибутиве и оригинальным раром твою.

Runtime_err0r :: YDS

цитата:
Я в этом плане от версии к версии (кажется начиная с 2.90), использую кейген от aZZaZZeLLo


Кстати, aZZaZZeLLo просто сп$#%ил кейген Dimedrol’а из DAMN и последняя версия с которой он работал была 2.80 beta 2 более новые после патча ЭЦП не держат

Solitaire :: по-моему, у aZZaZZeLLo были проблемы с эпсилон тим




Z Runtime error 216 после распаковки ASProtecta при выходе из программы...


Z Runtime error 216 после распаковки ASProtecta при выходе из программы вываливается ента ошибка.
Как лечить?
XoraX :: ну значится хреново распаковал

-= ALEX =- :: классный ответ, а главное правельный :)

Z :: все это круто, а дельные советы будут?

Я делал так AsprDBG1b на последнем стопе снимал дамп, востанавливал IAT, искал спертые байты в Olly.

Все прога 100% рабочая, уже и все ограничения поснимал, но эта ошибка децл напрягает.

ПРИЧЕМ ОНА появляется чразу после Восстановления IAT.

Это она завершается из защищенного режима некоректно.

Мысли есть?

P/s/. Я блин просто ломаю 2-ю прогу в жизни, а тут на тебе этот ASProtect 1.2x[new Strain] попадись. Fuck.

DEMON :: Z пишет:
цитата:
Fuck


Че ты материшся попробуй inline-patch!!!

-= ALEX =- :: может ты IAT плохо восстановил, например функцию ExitProcess, ну это так к примеру... а вообще надо искать место, где этот глюк происходит, и понять почему так. А на словах мало кто сможет конкретно выявить причину...

Z :: Вобщем немудрувсвую лукаво, нашел где вылетает.

00404436 DEC EBX
00404437 MOV DWORD PTR DS:[EDI+C],EBX
0040443A MOV EAX,DWORD PTR DS:[ESI+EBX*8+4]
0040443E TEST EAX,EAX
00404440 JE SHORT DIG.00404444
00404442 CALL EAX
00404444 TEST EBX,EBX
00404446 JG SHORT DIG.00404436

При call в еах была левота какаято, мож где напортачил, ну я call c jg занопил, и ОК. Все работает!

Всем спасибо!

odIsZaPc :: Z
Ссылку дай - поиогу...Z пишет:
цитата:
Я делал так AsprDBG1b на последнем стопе снимал дамп, востанавливал IAT, искал спертые байты в Olly.


Ручками надо.... Автоматизация распаковки имеет свои минусы... А вот по части восстановления импорта сия софтина рулит на мой взгляд...

nice :: Z
У тебя со стеком проблемы, ИМХО не правильно байты востановил, что у тебя там получилось, и что за программа?

Посмотри чуть выше ошибки идет вызов EnterCriticalSection?

Z :: программа Спектральный анализатор (1 метр).

получилось спертые байты до call.

004A140B PUSH EBP ‹---EP
004A140C MOV EBP,ESP
004A140E ADD ESP,-10
004A1411 PUSH EBX
004A1412 MOV EAX,SpCTRuM_.004A11A4
004A1417 NOP
004A1418 CALL SpCTRuM_.00406D94 ‹-- OEP при распаковке

Что со стеком подозрения есть, ASProtect, перед выходом на OEP после полиморфа чето там хитрит и выходит с EAX=0 (!!!!!!!!!!!!!!!!!!!!!!!), а это неправильно для начала delphi проги.
Ща еще покапаюсь мож разберусь.

Да IAT через AsprDbg103b (102 виснет).

Z :: ВСЕ нашел ошибку!

Байт я один лишний вписал!!! Этот nop.
Короче все на один байт сместил, тот востановил и ВСЕ РУЛИТ!!!!!!!!!!!

ThanX!

-= ALEX =- :: ну вот и славненько ... :)




mmm 2MozgC Статья об упаковщики


mmm 2MozgC Статья об упаковщики
mmm :: Прочитал статью «Распаковка: от самого простого к... ...чуть более сложному». Наконец-то мне кто-то популярно объяснил, как все это распаковывается :) Теперь проблем с простенькими упаковщиками не возникает. Как оказалось, почти все что написано в статье, было мне известно (насобирал инфы по инету), а вот толку было мало. Не хватало мозгов, чтобы все это собрать воедино. Короче, так держать! :)
В связи со всем этим возникли несколько вопросов:
1) секция импорта восстановлена, а можно ли восстановить также ресурсы, чтобы, например, в Restoratr-е нормально отображались?
2) можно ли вырезать из восстановленного файла код упаковщика?
3) когда выйдет следующая статья «Распаковка: от чуть более сложного к... ...еще чуть более сложному» :) ??? Хочется и с протекторами научиться разбираться.

Надеюсь, автор статьи ответит.

MozgC [TSRh] :: Спасибо за такой отзыв.
Вот отвечаю по порядку:
1) Ресурсы должны и так без проблем быть, их не надо отдельно восстанавливать, они сохраняются вместе с дампом.
2) Можно. А нужно?
3) Когда выйдет... не знаю.. Не скоро. Планировал написать на этих каникулах (которые сейчас идут) но что-то неохото, есть другие дела.. ПОэтому когда теперь буду писать следующую статью неизвестно, а если и буду, то наверно это сразу будет статья про распаковку армадилло без наномитов.

mmm :: MozgC [TSRh]
1) Я тут распаковывал прогу из AsPack. Работает без проблем. Но в Рестораторе иконки, например, показываются нормально, а строки - нет и дельфийские формы тоже не видать. Говорит corrupted resource. Мож я чо не так сделал? Хотя маловероятно... Когда такой эффект возможен?
2) Чисто для интереса. Ну и в формате PE-файла заодно разберусь :) Если несложно, хотелось бы узнать.
3) А вот это жаль... Придется опять перебирать кучу статей... Это как учась в институте прочитать кучу учебников вместо одного конспекта лекций :( Но я тебя понимаю. Самому зачастую лень пару строк набрать.

З.Ы. И все таки жаль... :)

X0E-2003 :: Ну не знаю, когда я был новичком, то прочитав статью от UnixC. Изучил распаковку UPX. В то время не про какого MozgC не было слышно. Я думаю, что у новичков просто нет никакого упорства, но не хотят они думать немного самостоятельно.

-= ALEX =- :: X0E-2003 реальную тему говорит.... раньше ваще мало чего было, приходилось читать, где-то самому экспериментировать... а щас уже полные, грамотные статьи пишут, и все равно какие-то глупые вопросы...

Runtime_err0r :: mmm

цитата:
Я тут распаковывал прогу из AsPack. Работает без проблем. Но в Рестораторе иконки, например, показываются нормально, а строки - нет и дельфийские формы тоже не видать. Говорит corrupted resource. Мож я чо не так сделал? Хотя маловероятно... Когда такой эффект возможен?


Надо, чтобы все ресурсы были в одной секции, используй Resource Rebuilder, либо PE Explorer (просто открой свой дамп и пересохрани), а ещё лучше распаковывай stripper’ом 2.03 - он сам секцию ресурсов перестраивает

Kerghan :: X0E-2003
-= ALEX =-
не поспоришь, а сдругой стороны тогда ведь не было ни аспра 1.3, ни армы 3.6 да и вообще...

mmm :: X0E-2003 пишет:
цитата:
Я думаю, что у новичков просто нет никакого упорства, но не хотят они думать немного самостоятельно.


-= ALEX =- пишет:
цитата:
X0E-2003 реальную тему говорит.... раньше ваще мало чего было, приходилось читать, где-то самому экспериментировать... а щас уже полные, грамотные статьи пишут, и все равно какие-то глупые вопросы...


Молодца все! Что ж нам теперь бросить читать все подробные статьи и читать старые книжки по работе с компом в двоичных кодах? У меня нет такой возможности. Время для меня - ценная штука. Я предпочту один раз прочесть простую ламерскую статью, чем прочитать 10 супер вумных книжек, если в итоге научусь делать одно и то же. Если мои вопросы кажутся вам глупыми, то можете не отвечать. Хотя, думаю, не многие из вас скажут что-то умное по моей работе...
Думаю, у меня есть естесственное желание научиться крекингу как можно быстрей. Поэтому и задаю вопросы, вместо того чтобы долго выуживать их из статей. Мне казалось, что этот форум и создан для таких как я (хотя бы частично). А умные :) вопросы придут со временем.
А что насчет «думать немного самостоятельно», то мне кажется, что в таком отнюдь не однообразном деле как крекинг без этого не обойтись. Но азы все равно лучше узнать от людей, которые этим давно занимаются. Я же не спрашиваю у вас по каждой проге, какой байтик в ней изменить.
В общем, надеюсь, поняли мою мысль. Я свое мнение не навязываю, но строить из себя крутых хакеров и засыпать остальных дерьмом, по моему некрасиво...

DEMON :: MozgC [TSRh] пишет:
цитата:
Планировал написать на этих каникулах (которые сейчас идут) но что-то неохото, есть другие дела..


Где это ты учишся, что у тебя каникулы??? А у меня ё%?ный зачет через 5 часов. Наверное сегодня яспать не буду!!!

MozgC [TSRh] :: Я согласен с mmm, тоже самое хотел написать.

mnalex :: Не, ну действительно, разве можно осуждать человека, если он интересуеться, и пытаеться узнать для себя что то новое?? И в тоже время, разве можно осуждать человека, что он ценит свое свободное личное время? Зачем всем делать одну и туже работу? Почему, кто уже прошел сам недолжен помогать вновь пришедшему? Если ты разобрался сам - честь и хвала, но будь ЧЕЛОВЕКОМ с большой буквы - помоги другому... Выже сами должны понимать, что все книги, вся наука базируеться на том, что знания передаються из поколения в поколения, а некаждый сам посебе получает яблоком по голове, и изобретает заново закон всемирного тяготения!!!! Незабывайте про это!




mnalex Программа «Экзамены в ГИБДД» Я тута программку одну копать пробую,...


mnalex Программа «Экзамены в ГИБДД» Я тута программку одну копать пробую, написана на Делфях, ограничение - 20 билетов из 40 возможных, вот чтото у меня с ней непонятки... может кто глянет, и подскажет, где конкретнее смотреть то нужно.
· Программа + файл справки [1507 Kb]: http://pdd02.chat.ru/gibdd.zip
и если кому интересно:
· Билеты 1-10 [1576 Kb]: http://pdd02.chat.ru/gibdd10.zip
· Билеты 11-20 [1519 Kb]: http://pdd02.chat.ru/gibdd20.zip
· Билеты 21-30 [1588 Kb]: http://pdd02.chat.ru/gibdd30.zip
· Билеты 31-40 [1548 Kb]: http://pdd02.chat.ru/gibdd40.zip
или все вместе «Самораспаковывающийся архив программы» [7766 Kb]: http://pdd03.chat.ru/setup2.exe
версия 1.6
Yokel :: Что конкретно не получается???

mnalex :: Yokel
Неполучаеться найти место проверки пороля. В какой форме, и как это там реализовано.

odIsZaPc :: mnalex
DeDe юзал? Форма Work, Событие OnCreate. Находишь место, где из ini-файла в память считывается Key. Дальше с ним что-то делается... =)
Самое интересное: При регистрации автор просит отослать ему никий код: у меня это «F.B.CGAA». Так вот: в памяти он представлен в виде «5.1.2600». Каждая цифра = порядковый номер буквы в алфавите. Так вот: в проге есть место где этот «5.1.2600» сравнивается с «abrakadabra». Маразм или защита от дурака?

RideX :: odIsZaPc пишет:
цитата:
представлен в виде «5.1.2600»


Чем-то напоминает версию ОС...

-= ALEX =- :: RideX ага, а именно XP...

odIsZaPc :: -= ALEX =-
А я-то думал откуда он это берет!

mnalex :: odIsZaPc
Во блин, сенкс, а я практически везде общарился, кроме этого , надоже какая херня блин
Это же надо, тот же код он и у меня писает , извращенец однако автор то

odIsZaPc :: mnalex
Давай теперь рыть проверку....

odIsZaPc :: Заценяйте что нашел IDA:

CODE:00484D08 cmp byte ptr [eax], 14h ‹--- Сравнение с 20
CODE:00484D0B jbe short loc_484D31
CODE:00484D0D mov eax, ds:off_48ACE4
CODE:00484D12 cmp byte ptr [eax], 0 ‹-- Проверка зарегистрированности
CODE:00484D15 jnz short loc_484D31
CODE:00484D17 lea edx, [ebp+var_C]
CODE:00484D1A mov eax, offset dword_485330
CODE:00484D1F call sub_47C1E0
CODE:00484D24 mov eax, [ebp+var_C]
CODE:00484D27 call sub_44FB94
CODE:00484D2C jmp loc_4852DA
CODE:00484D31 ; -------------------------------------------------- -------------------------
CODE:00484D31
CODE:00484D31 loc_484D31: ; CODE XREF: sub_484CA0+6Bj
CODE:00484D31 ; sub_484CA0+75j
CODE:00484D31 mov eax, ds:off_48AC78
CODE:00484D36 mov byte ptr [eax], 1
CODE:00484D39 mov ds:byte_48BC19, 0

Но прога сопротивляется и выдает Access Violation. Но только какой-то странный...

Gloomy :: odIsZaPc
Не очень это похоже на проверку зарегистрированности - установленный там бряк не работает :(

odIsZaPc :: Gloomy
Бряки надо правильно устанавливать... =)
Этот код происходит при двойном щелчке по билету или при нажатии кнопеи OK

Gloomy :: odIsZaPc
Очень странно - скидываешь флаг ZF, запускаешь прогу на выполнение а она перестает работать :(

odIsZaPc :: Gloomy
А нафига его скидывать?

odIsZaPc :: С некоторой олей вероятности могу сказать, что исходя из серйника может расшифровываться файл с вопросами (или его заголовок)... Тогда остается только перебор. Но это наврядли...

mnalex :: odIsZaPc
Погодь, я чото непо, если этот код происходит принажатии по кнопке ок или даблклик по белету, то тут что то странное, а как же проверка до запуска? там должно окно уйти, то что регистрацию предлагает... я еще несмотрел те места что ты написал - времени небыло, чичас буду копаться...

Gloomy :: odIsZaPc
›› А нафига его скидывать?
Чтобы переход
CODE:00484D15 jnz short loc_484D31
не сработал. Если так сделать то просто не появляется сообщение о том что прога не зарегистрирована и вся прога виснет.

odIsZaPc :: mnalex
Надо искать там проверку. Я ее как-то обошел, поправив несколько переходов, но потом был Access Violation пр выборе билета.

P.S. А прога-то ничего - полезная...

mnalex :: odIsZaPc
А как же, особенно если хотишь на права сдавать ...




TankMan SoftIce под XP Не могли бы научить бедного... как запуситить SoftIce...


TankMan SoftIce под XP Не могли бы научить бедного... как запуситить SoftIce 4.05 на XP... а то я уж наверное пол-года ничего не взламывал, а тут решил попробовать - так мне даже прожку запуситить не удалось на компе с SI :( - сказали что icedump - вчерашний день :(... и переходить на ХР обязательно... а я не знаю как :)... вот такая вот проблема...
TankMan :: Ух ты у вас же на сайте нужно было по рыться то :)... нашел - поставил и появились совсем другие вопросы - например, как заставить работать мышь USB, и почему запуская dsconfig я вставив туда нужные комманды на нужные же мне клавиши, а они ничерта не работают :(... да еще и Init вроде не работает :(... во всяком случае altkey прописанная в нем не сработала точно ...как с этим справится подскажите плиз?




MC707 Зацените защиту у проги... как у крякмиса какого-нить Я оффигеваю......


MC707 Зацените защиту у проги... как у крякмиса какого-нить Я оффигеваю... Интересно, авторам не влом было такую защиту придумывать и потом ее реализовывать....
Вобщем о проге - сама по себе так себе, но написано красиво и защита красивая, хотя не сложная .
Сверху навешан ASPack, снимается влёт. Написана на BCB6 вроде (так DeDe говорит).
В общем если кому интересно на хорошую защиту посмотреть - пожалуйста. Я на нее вчра часа 3 убил, еле присмирил
Задача - найти сериал для своего имени

http://www.qwerks.com/dow...load/5013/ExeIcoSetup.exe 900К
Хомпага - http://www.softboy.net

P.S. Прога новая, версия 2.9 . Меняет иконки у exe, dll, ocx файлов
MC707 :: Подсказка - первое впечатление обманчиво. Возможно, что тот сериал, который вы найдете может оказаться неправильным, хотя прога ругаться не будет. Как проверить? Загрузите какой-нибудь файл с иконками и кликните на любую крысой... Дальше сами догадаетесь

Nitrogen :: MC707
ой да таааких заШит воз и маленькая тележка.. oncourt например.. там проверок-то поболее будет..

p.s кейген будешь делать? ;)

Nitrogen :: 2 MozgC: ты ж вроде кейгенить начал?.. вот и зарелизь эту прогу.. подсказку тебе уже дали %)

odIsZaPc :: MC707
EXE не правил? Только сериал нашел и все?

MozgC [TSRh] :: Nitrogen
Я щас 5-ый день кое-какую прогу кейгеню, так что сначала с ней разберусь...

Nitrogen :: MozgC [TSRh]
не ту которую тебе нера подбросил? :)

MC707 :: Кейген делать не буду, потому что некогда. Да и к тому же... ой чуть не проговорился... Это большая подсказка была бы

ЕХЕ не правил, пам в принципе байт 10 поправить и будет все работать, но релизить - кряк 20К, а сериал + nfo - 2К
К тому же патч уже делать мне к ней неинтересно

MC707 :: Nitrogen пишет:
цитата:
ой да таааких заШит воз и маленькая тележка..


Я на кряк-сцене недавно (3мес) и за это время сломал 60 прог (немного, но все же) и просто такой защиты мне не попадалось.

MozgC [TSRh] :: Nitrogen
Это я ее Нере подбросил =) Но я уже разобрался, в принципе на руках все закейгенил, она у меня зарегена, но щас просто не могу нормально DLL с кейгеном связать =(

.::D.e.M.o.N.i.X::. :: Nitrogen пишет:
цитата:
ой да таааких заШит воз и маленькая тележка


Network Administrator например, для которого [TSRh] криво сделала кейген (не в обиду)...




Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда...


Yraevtys Вопрос Прога сжата UPX, но сам UPX ее не расжимает почему-то, правда может я не правильно пользуюсь ( upx -d file.exe file1.exe). Пробую остановится на ЕР, указанном в PEiD, прога не останавливается, а сразу запускается. Посоветуйте, как распаковать прогу? Поясните в » Запускаю программу. В отладчике пишу «addr NAME», где name - имя исследуемой программы (процесса), после этого пишу «bpm 12345678 x», где вместо 12345678 подставляем значение EP (вместе с Image Base) и перезапускаем программу. Произойдет остановка на EP.» - что означает EP (вместе с Image Base) ?

XoraX :: http://www.cracklab.narod.ru/doc/pkk.htm

Runtime_err0r :: Yraevtys
Что за прога ? Ссылку дававй !




infern0 Arma 3.60 и определение Softice Как известно арма 3.60 определяет...


infern0 Arma 3.60 и определение Softice Как известно арма 3.60 определяет наличие айса даже при загруженном iceext. А делает она это так: сначала проверяется существование в реестре сервиса с именем IceExt. Я это обошел просто переименовав сервис IceExt в HotExt (пытаюсь быть оригинальным:). Дальше есть еще одна проверка. Она выглядит таким образом:

is_SOFTICE_active:
push ebp
mov ebp, esp
push ecx
push ebx
xor ebx, ebx
push esi
push edi
loc_B24E7B: ; CODE XREF: .text:00B24E72j
mov [ebp-4], ebx
mov [dword_B351F8], ebx
push loc_B24F1E
; ebx = 0
push dword [fs:ebx]
mov dword [fs:ebx], esp
xor esi, esi
push 4
push 1000h
push 1000h
push 0
call [VirtualAlloc]
pushfw
bts dword [esp], 10h
bts dword [esp], 8
push cs
push loc_B24F0F
; -------------------------------------------------- -------------------------
db 0Fh ;
db 0D0h ; ж
; -------------------------------------------------- -------------------------
iret
; -------------------------------------------------- -------------------------

loc_B24F0F: ; DATA XREF: .text:00B24F07o
; .text:00B24F51o
inc dword [eax]

loc_B24F11: ; DATA XREF: .text:00B24F7Bo
push eax
call [VirtualFree]
mov [ebp-4], esi
jmp loc_B24F96
; -------------------------------------------------- -------------------------

loc_B24F1E: ; DATA XREF: .text:00B24ED5o
pusha
lea edi, [esp+24h]
mov esi, [edi]
mov edi, [edi+8]
mov eax, [esi]
cmp eax, 80000004h
jz loc_B24F6A
cmp eax, 0C000001Dh
jz loc_B24F3D
popa

loc_B24F39: ; CODE XREF: .text:00B24F4Aj
xor eax, eax
inc eax
retn
; -------------------------------------------------- -------------------------

loc_B24F3D: ; CODE XREF: .text:00B24F36j
mov eax, [edi+0B8h]
cmp word [eax], 0D00Fh
jz loc_B24F4C
jmp loc_B24F39
; -------------------------------------------------- -------------------------

loc_B24F4C: ; CODE XREF: .text:00B24F48j
xor eax, eax
mov [edi+14h], eax
mov dword [edi+4], loc_B24F0F
mov dword [edi+18h], 501h
add dword [edi+0B8h], 2

loc_B24F66: ; CODE XREF: .text:00B24F94j
popa
xor eax, eax
retn
; -------------------------------------------------- -------------------------

loc_B24F6A: ; CODE XREF: .text:00B24F2Fj
bt dword [edi+14h], 0
jnb loc_B24F85
mov dword [edi+0A0h], 1
mov dword [edi+0B8h], loc_B24F11

loc_B24F85: ; CODE XREF: .text:00B24F6Fj
xor eax, eax
mov [edi+4], eax
mov [edi+14h], eax
mov dword [edi+18h], 400h
jmp loc_B24F66
; -------------------------------------------------- -------------------------

loc_B24F96: ; CODE XREF: .text:00B24F1Cj
; ebx = 0 ?
pop dword [fs:ebx]
add esp, 4
cmp dword [ebp-4], 0
setnz al

loc_B24FA7: ; CODE XREF: .text:00B24E76j
pop edi
pop esi
pop ebx
leave
retn

Смысл всей этой петрушки в установке бряка с помощью Dr0 в обработчике исключения invalid opcode. Обходится это самым простым образом - нужно просто поставить левый бряк с помощью регистра dr0. После чего 3.60 и защищенные ею проги обрабатываются как обычно :)

ps: Sten поставлен в известность об этом способе и обещал заточить IceExt что-бы обходить эту проверку автоматически.

MC707 :: круто... чтож тут еще сказать...

XoraX :: infern0 , ты походу решил эту арму окончательно разгромить...

infern0 :: XoraX
да нет, просто попадаются проги, а я не люблю когда они ломаться не хотят :)
Вот и приходится ...




Destroyer Брутфорс На форуме приводился исходник брутфорсера на асме к проге...


Destroyer Брутфорс На форуме приводился исходник брутфорсера на асме к проге «Рецепты». Как его компилировать? Должен получиться exe-шник?
Я пока только пробую писать на асме, вот что получается на основе кода от Nitrogen-a. Что-то тут надо подправить, а что? Помогите plz.
.486
.model flat,stdcall
option casemap :none

include \masm32\include\windows.inc
include \masm32\include\user32.inc
include \masm32\include\kernel32.inc
include \masm32\include\masm32.inc

includelib \masm32\lib\user32.lib
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\masm32.lib

.data

_ser1 db 20 dup(0)
alpha db «0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklm nopqrstuvwxyz»,0
temp_01 db 0
constanta dd 0FEFCF7F9h
dd 0FBFDFCF5h
dd 0F4FFFFFAh
dd 0F2F6F5F3h
dd 0F2F1F0F3h
dd 0FDF7F7F3h
dd 0F8FAFDFBh
dd 0F4FCFEFFh
.const
IDC_EDIT equ 3000

.code

start:
xor ebx,ebx
xor eax,eax
xor ecx,ecx
xor edx,edx
lea esi,constanta
lea edi,_ser1
@l:
mov dl,byte ptr[alpha+ecx]
mov byte ptr[temp_01],al
add al,11h
xor al,dl
mov dl,al
or dl,0F0h
mov bl,dl
mov dl,al
shr dl,04
or dl,0F0h
mov bh,0
add bh,dl
cmp word ptr[esi],bx
jz @n
inc ecx
mov al,byte ptr[temp_01]
jmp @l
@n:
mov bl,byte ptr[alpha+ecx]
mov byte ptr[edi],bl
inc edi
cmp edi,offset [_ser1+16]
jz @s
xor ecx,ecx
add esi,2
jmp @l
@s:
invoke SetDlgItemTextA,hwnd,IDC_EDIT,addr _ser1
xor eax,eax
ret
end start

RideX :: На основе кода от Nitrogen’a вот что получается:
твой .asm файл

.486
.model flat, stdcall
option casemap :none

include \masm32\INCLUDE\windows.inc
include \masm32\INCLUDE\user32.inc
include \masm32\INCLUDE\kernel32.inc
include \masm32\INCLUDE\gdi32.inc
include \masm32\INCLUDE\masm32.inc

includelib \masm32\LIB\user32.lib
includelib \masm32\LIB\kernel32.lib
includelib \masm32\LIB\gdi32.lib
includelib \masm32\LIB\masm32.lib

szText MACRO Name, Text:VARARG
LOCAL lbl
jmp lbl
Name db Text,0
lbl:
ENDM

WndProc PROTO :DWORD,:DWORD,:DWORD,:DWORD

.data
hWnd dd 0
hButnOK dd 0
hButnExit dd 0
hEditCode dd 0
hInstance dd 0
hIcon dd 0
dlgname db «BRUTEFORCE»,0

_ser1 db 20 dup(0)
alpha db «0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklm nopqrstuvwxyz»,0
temp_01 db 0
constanta dd 0FEFCF7F9h
dd 0FBFDFCF5h
dd 0F4FFFFFAh
dd 0F2F6F5F3h
dd 0F2F1F0F3h
dd 0FDF7F7F3h
dd 0F8FAFDFBh
dd 0F4FCFEFFh

.code

start:

invoke GetModuleHandle, NULL
mov hInstance, eax
invoke DialogBoxParam,hInstance,ADDR dlgname,0,ADDR WndProc,0
invoke ExitProcess,eax

WndProc proc hWin :DWORD,
uMsg :DWORD,
wParam :DWORD,
lParam :DWORD
pusha
.if uMsg == WM_INITDIALOG

mov eax, hWin
mov hWnd, eax

szText dlgTitle,«BruteForce»
invoke SendMessage,hWin,WM_SETTEXT,0,ADDR dlgTitle

invoke LoadIcon,hInstance,200
mov hIcon, eax
invoke SendMessage,hWin,WM_SETICON,1,hIcon

invoke GetDlgItem, hWin, 1000
mov hButnOK, eax

invoke GetDlgItem, hWin, 1001
mov hButnExit, eax

invoke GetDlgItem, hWin, 999
mov hEditCode, eax

.elseif uMsg == WM_COMMAND
.if wParam == 1000 ; the OK button

xor ebx,ebx
xor eax,eax
xor ecx,ecx
xor edx,edx
lea esi,constanta
lea edi,_ser1
@l:
mov dl,byte ptr[alpha+ecx]
mov byte ptr[temp_01],al
add al,11h
xor al,dl
mov dl,al
or dl,0F0h
mov bl,dl
mov dl,al
shr dl,04
or dl,0F0h
mov bh,0
add bh,dl
cmp word ptr[esi],bx
jz @n
inc ecx
mov al,byte ptr[temp_01]
jmp @l
@n:
mov bl,byte ptr[alpha+ecx]
mov byte ptr[edi],bl
inc edi
cmp edi,offset [_ser1+16]
jz @s
xor ecx,ecx
add esi,2
jmp @l
@s:
invoke SetWindowText, hEditCode, addr _ser1
xor eax,eax
ret

.elseif wParam == 1001 ; Exit button
jmp EndWork

.endif

.elseif uMsg == WM_CLOSE
EndWork:
invoke EndDialog, hWin, 0

.endif
popa
xor eax, eax
ret
WndProc endp
end start

твой rsrc.rc файл:
#include »\masm32\include\resource.h»

BRUTEFORCE DIALOGEX MOVEABLE IMPURE LOADONCALL DISCARDABLE 10, 10, 238, 64, 0
STYLE DS_SETFONT ¦ DS_MODALFRAME ¦ DS_CENTER ¦ WS_POPUPWINDOW ¦ WS_VISIBLE ¦ WS_DLGFRAME
EXSTYLE WS_EX_DLGMODALFRAME ¦ WS_EX_TOOLWINDOW ¦ WS_EX_CLIENTEDGE ¦ WS_EX_APPWINDOW
CAPTION «BruteForce»
FONT 8, «Tahoma»,700, 0 /*FALSE*/
BEGIN

EDITTEXT 999, 4, 4, 160, 56, WS_CHILD ¦ WS_VISIBLE ¦ WS_BORDER ¦ WS_TABSTOP ¦
ES_LEFT ¦ ES_AUTOHSCROLL ¦ ES_READONLY ¦ ES_MULTILINE

GROUPBOX »», -1, 168, 0, 67, 60, BS_LEFT
PUSHBUTTON «Generate», 1000, 174, 9, 55, 12, NOT WS_TABSTOP ¦ BS_FLAT
PUSHBUTTON «Exit», 1001, 174, 26, 55, 12, NOT WS_TABSTOP ¦ BS_FLAT

END

1 ICON MOVEABLE PURE LOADONCALL DISCARDABLE «mainicon.ico»

Destroyer :: Что-то не запускается этот ехе-шник, ты чем его компилировал, я в MASM32. А еще *.rc фаил MASM32 не воспринимает, пишет ошибку почти на каждой строке.

Dragon :: Masm .rc файлы не компилирует, это вообще то ассемблер. Их надо компилировать rc.exe, а потом прилинковывать уже готовый res-файл.

Kerghan :: Dragon
ты думаешь, что он понял?

Destroyer
--твой compil.bat----
patch.asm и patch.obj заменишь на твой файл NAME.asm и NAME.obj
а также заменишь rsrc.rc и rsrc.res твой NAMEres.rc и NAMEres.res

\masm32\bin\ml /nologo /c /coff /Cp patch.asm
\masm32\bin\rc rsrc.rc
\masm32\bin\link /nologo /SUBSYSTEM:WINDOWS /RELEASE /LIBPATH:\masm32\lib patch.obj rsrc.res

Destroyer :: Спасибо, скомпилировал, и все запустилось. Теперь пытаюсь понять как это работает. В связи с этим появились вопросы:
Что с чем сравнивается в 20) и в 29)?
В 8) dl - это текущий символ?
Зачем в 23) перезаписывать из al в[temp_01], а потом в 9) наоборот?
По какому принципу отбираются символы?

1) xor ebx,ebx
2) xor eax,eax
3) xor ecx,ecx
4) xor edx,edx
5) lea esi,constanta
6) lea edi,_ser1
7) @l:
8) mov dl,byte ptr[alpha+ecx]
9) mov byte ptr[temp_01],al
10) add al,11h
11) xor al,dl
12) mov dl,al
13) or dl,0F0h
14) mov bl,dl
15) mov dl,al
16) shr dl,04
17) or dl,0F0h
18) mov bh,0
19) add bh,dl
20) cmp word ptr[esi],bx
21) jz @n
22) inc ecx
23) mov al,byte ptr[temp_01]
24) jmp @l
25) @n:
26) mov bl,byte ptr[alpha+ecx]
27) mov byte ptr[edi],bl
28) inc edi
29) cmp edi,offset [_ser1+16]
30) jz @s
31) xor ecx,ecx
32) add esi,2
33) jmp @l
34) @s:
35) invoke SetWindowText, hEditCode, addr _ser1
36) xor eax,eax
37) ret

Nitrogen :: Destroyer
а ты саму прогу для которой брут был смотрел?

08 - один из символов alpha
20 - в esi лежит адрес строки-константы (берется в проге)
29 - просто провека на длину (серийник должен быть 16 символов)
09/23 - восстановление/сохранение промежуточного значение (т.к если символ подобран неверно - значение al неверное и необходимо восстановить предыдущее)

p.s этот брут только для той проги для которой написан :)

Destroyer :: Что этот брут только для этой проги я уже понял. А есть какие-нибудь идеи типа универсального брута? Например чтобы по заданному словарю символов перебирал все возможные комбинации.




gres Люди добрые поможите ламеру с настройкой Аиса Установил под ХР...


gres Люди добрые поможите ламеру с настройкой Аиса Установил под ХР SoftIce_XP_4.2.7, проблема такая, когда вхожу в режим правки «а» то изменения происходят не в памяти а в самом екзешнике или длеле, пока издевался над простинкими крякмисами мне это нравилось, никакой редактор не нужен, а когда полез в серьезную прогу и блуждая по кодам по запарке подправил кернел то после F5 или F12 ХР улетел в трубу с синим фоном!!!
Вопрос - это глюк или я просто чего не настроил???
odIsZaPc :: gres
Правиться не экзешник, а память. Поменяй там че-нить через «а», чтоб косяк произошел и перезагрузись. Увидишь - все встанет на свои места.

gres :: odIsZaPc
Спасибо, да действительно после перезагрузки все на своих местах, а нельзя как нибудь обойтись без перезагрузки, они и так достали до чертиков!
К стати в 98 и айсом 4.05 вроде такого небыло?
И еще вопрос: после перезагрузки (айс не загружен, выбрал мануал) захожу в настройки подправить командную строку, ничего серьезного просто регулировка размера окон, после клика мышью в едит ХР виснет наглухо, такое происходит в 50% изменения настроек.

Tor Re: gres :: gres пишет:
цитата:
Спасибо, да действительно после перезагрузки все на своих местах, а нельзя как нибудь обойтись без перезагрузки, они и так достали до чертиков!
К стати в 98 и айсом 4.05 вроде такого небыло?


XP хранит «образ» программ которые загружались(правились )в память(и) поэтому при повторном запуске загружается не сама программа ,а ее образ. А чтоб меньше было таких вопросов купи книгу : Айрапетян Роберт «Справочник по Si» в серии Кодокопатель книга 6.
Кажись так.

DEMON :: У меня кстати тоже иногда виснет комп, когда в айсе шпилю!!! Я сразу жму RESET не знаю как по-другому!!!!

odIsZaPc :: gres пишет:
цитата:
после перезагрузки (айс не загружен, выбрал мануал) захожу в настройки подправить командную строку, ничего серьезного просто регулировка размера окон, после клика мышью в едит ХР виснет наглухо, такое происходит в 50% изменения настроек.


сТАРННО

Ara :: Братья. может кто знает, как успокоить сумасшедшую мышь в SI (for XP). а то пришлось от нее вообще отказаться !

gres :: У меня почемуто 4.2.7 не на все API брякается, хотел обращение к реестру отследить, они реально есть а айс говорит не знаю таких??? (RegOpenKeyA и еще многие другие???)

Tor :: Купите книгу по Айсу ! Меньше будет вопросов.
1. Ты не включил в експорт символьные имена этих ф-ций.Проверь командой EXP имя_ф_ции.
2. Ты грузишь айс в режиме boot ,пробуй загрузку следующую по порядку.Т.е. которая осуществляется после загрузки ядра .

DEMON :: Вот те книга учись!!!!!!!!
http://cracklab.narod.ru/doc/book/index.htm

DEMON :: Вот те книга учись!!!!!!!!
http://cracklab.narod.ru/doc/book/index.htm

gres Re: DEMON :: Спасибо, енто я все сразу же снял вебкопиром как только зашел, к стати совет хозяину!!! Почаще выкладывать сборник статей в формате chm - места меньше занимает, как я понимаю трафик денег стоит!!!
В общем проблеммы решил все кроме перезагрузок- похоже 4.2.7 не совсем с железом новым ладит, качал патчи с куличек не помогло!
Спасибо TORy с функиями косяк был в експорте, я лоадером почти не пользуюсь он не все грузит или я тоже чтото может не настроил, да и не нужен он вобщем- функции нужны были, а я настройки плохо знаю.

Chirurg :: Ara пишет:
цитата:
Братья. может кто знает, как успокоить сумасшедшую мышь в SI (for XP). а то пришлось от нее вообще отказаться !


У тебя, похоже, 3-х кнопочная мышь? Поставь в опциях Microsoft IntelliMouse (по-моему, так)

gres Re: Chirurg :: У меня тоже такое бывает, начинают менюшки выскакивать в айсе и мыша клинит в окне, отключать не хочется, скроллер радует очень, лечу просто несколько раз нажимая ’bl’ или ’а’ ’а’ он тогда расклинивается!

mnalex :: Ara
Если оптика - дело труба, ставь шаровую :)) и желательно на ком порт :))

Ara Re: mnalex :: Да, 3-х кнопочная оптика, ну да ладно, хрен с этой мышью




Char Thanx2Runtime


Char Thanx2Runtime_err0r Не успел поблагодарить за LuckCity (было дело около 3 недель назад;).
Но вот проблемка: твой совет применить не смог. Цитирую:
«W32Dasm - ищешь строку Version 1.0 (Unregistered) смотришь как туда попал...»
Но w32dasm не находит такого текста в коде ваще :(. Почему? Может, некоректно обрабатывает текст (у меня версия 8.9)? А кряк-то твой работает! Но ведь самому интересно... )
Runtime_err0r :: Char
Ты невнимательно прочитал мой пост прога написана на Visual Basice, поэтому чтобы в Win32Dasm’е были видны строковые константы нужно скачать специальный патч (попробуй скачать тут http://protools.anticrack.de/decompilers.htm )
Или используй IDA - оно Unicode понимает без проблем




Tollya Посмотрите кому не лень У меня установлен IceExt 0.57. Пытаюсь...


Tollya Посмотрите кому не лень У меня установлен IceExt 0.57. Пытаюсь распаковать прогу Offline Explorer 3.0. http://www.metaproducts.com/default.asp
При попытке трассировки в SI прога подвисает недалеко от начала,
а именно по адресу 007FC517. Кстати при отладке отладчиком из MVS 6 все нормально. Подскажите, из-за чего это происходит и что мне делать. Может IceExt более новый есть. На всякий случай у меня WinXP+SP1. Как вы я надеюсь уже поняли мне важен не crack, а самому разобраться в этом вопросе. Хотя, и он тоже нужен.

odIsZaPc :: Tollya
А зачем тебе IceEXT? Он тут не нужен. Прога упакована ASPack’ом, а на АсПротектом каким-нибудь. На всякий случай извлек ее - еси надо расскажу как :)

Tollya :: odIsZaPc
То, что прога запакована ASpack-ом я знаю и про IceExt на всякий случай написал. Как я уже писал прога подвисаетпри попытке трассировки не далеко от начала. Кстати AspackDie ее смог распаковать, но после этого та же история. Не да леко от начала проги, таже история. А SI Offline Explorer как-бы не видит, не один BP не срабатывает. Может я чего-то не знаю?

odIsZaPc :: Tollya
Короче, раскидываю:
Вырубай всякие там IceEXT и прочие примочки.
С помощью PE Tools прерываешься на EP проги, ставишь «bpm esp-4», прерываешься прямо перед переходом на OEP. Смотришь этот самый OEP. Потом повторешь еещ раз, зацикливаешься пред переходом на OEP и дампишь процесс с помощью того же Lord PE. Не убивая прогу, грузишь ее в ImpRec, в поле OEP вводишь OEP - ImageBase и тыкаешь IAT AutoSearch. Ну обновляешь дамп...




FEUERRADER Математическое преобразование Преположим, есть инструкция:


FEUERRADER Математическое преобразование Преположим, есть инструкция:
2485B (или rva=46245B) E930CFFEFF JMP 44F390
где 2485B - offset в файле, остальное понятно.
Так вот, из байт 30CFFEFF нужно получить адрес 44F390, зная только offset (или rva). Я предполагаю, что эти байты каким-то образом образуют число (если положительное - jmp идет ниже, отрицательное - выше), которые прибавляется/отнимается от offset (или rva оффсета?).
Хотелось бы формулу, если у кого есть или просто мысли.

Благодарю.
Dragon :: Это число равно адрес назначения - текущий адрес(EIP) - 5, 5 это длина команды, для короткого jmp это 2, для длинного условного перехода это 6.

nice :: FEUERRADER
Если я тебя правильно понял 44f390=FFFECF30+46245B

odIsZaPc :: FEUERRADER
Ты дизассемблер что-ли хочешь написать? Так на то есть специальные таблицы (спецификации что-ли) опкодов...

FEUERRADER :: nice
Действительно, всё оказалось элементарно. Меня смутили «FFFFF» в этом числе, а они просто указывали на отрицательный знак числа.
odIsZaPc
Нет, хочу написать автоанпакер для UPX. Просто для своего развития :)) Уже написал dll, которая не запуская файл (только по байтам файла) определяет OEP у UPX, сделаю еще ASPack. Эту длл сделаю публичной, скоро наверно, выпущу в свет.

-= ALEX =- :: FEUERRADER странно, nice вроде бы то же самое хотел писать...

XoraX :: я уже видел в сети такую длл.... ;)

mnalex :: nice
Чото я не по, FFFECF30+46245B = 44F38B ,
но 44F38B не равно 44F390 , так как это? или чо это? вернее как это вы пришли к тому, что результат равен?

Dragon :: mnalex
FFFECF30+46245B+5 = 44F390, я же писал выше.

Asterix :: FEUERRADER

Интересно.. интересно, для АСПака я тоже пишу тулзень, тестовый
вариант уже готов, но перерабатываю движок в сторону универсальности,
ну что померяемся шварцами.. у кого в итоге окажется лучше

-= ALEX =- :: у меня, гы... шутка :)




kyk Ocad 8 Помогите найти крек


kyk Ocad 8 Помогите найти крек
XoraX :: нужен бан

MoonShiner :: Эт точно...




MC707 Sound libs Подскажите плз, где можно достать библиотечки .lib для асма...


MC707 Sound libs Подскажите плз, где можно достать библиотечки .lib для асма или VC++ для проигрывания mod,xm,s3m etc...
Имею два, но один flib dll-ку требует, а другой большой слишком - 100К
MaDByte :: Есть miniFMod, при линковке добавляет всего лишь 3 кб кода, ссылку не помню, но могу на намылить

MC707 :: ага, спасибо, я его нашел, тока я что-то автора не совсем понял:

цитата:
I stripped and copied code around, took out functions and inlined them (ie i put waveout code in the music file!), and generally turned it upside down to try and squeeze some size!





maravan SoftIce&SymbolLoader. Раньше дебажил на trw2000(wind 98), решил...


maravan SoftIce&SymbolLoader. Раньше дебажил на trw2000(wind 98), решил перейти на SoftIce под XP+SP1, скачал с сайта демоникса, SI4.2.7.
Все поставилось нормально, и по CTRL+D выскакивает SI. Далее хочу отладить прогу.
Насколько я понимаю, надо в SymbolLoader грузить прогу(exe), затем сделать load и должен выскачить SI, но у меня почему-то в логе:
Translating file: Pr.exe...
Error: No debug info..
Pr.exe’ symbols not loaded -----
И нефига не выскакивает=(

Подскажите, что можно сделать, чтобы отладить прогу?
nice :: maravan
Почитай фак Мозг’а
http://cracklab.narod.ru/doc/faqversion10.htm




Yraevtys Вопрос PEiD показывает адресс ЕР и находит адресс ОЕР - можно ли их...


Yraevtys Вопрос PEiD показывает адресс ЕР и находит адресс ОЕР - можно ли их использовать?
Почему адресс ЕР в PEid не совпадает с адрессом ЕР в Айсе после ’bpint 3’ ?
MozgC [TSRh] :: 1. PEid показывает RVA а в айсе VA
2. Доверять OEP Finder’у зачастую можно, но лучше всегда самому.




AMNiBiUS глюки после ASprotect 1.23 RC1 Запакованный размер 833 кб, после...


AMNiBiUS глюки после ASprotect 1.23 RC1 Запакованный размер 833 кб, после распаковки 4,5 мб. Это нормально?
Прога запускается, но есть такой глюк. Вообще прога похожа на граф редактор т.е. есть рабочая область где можно рисовать и кнопки лепить. Так вот, после запуска кусок ее рабочего стола остается прозрачным, и в эту дыру успешно можно рассматривать файлы проводника:). В чем это я натупил, что так получается? И как бороться?
odIsZaPc :: AMNiBiUS
Возможно импорт.... Ссылку дай.

AMNiBiUS :: odIsZaPc
Нету у меня ссылки, у меня прога тока есть, а там в хэлпе по адресу поддержки следующая версия лежит.
В общем может ты в курсе, прога CrystalButton v 2.0 называется. А если траблы с импортом, то почему никаких ошибок не выдает? Просто молча кусок не показывает и все:(

AMNiBiUS :: PS
Прога 1,2 мб весит, могу на мыло залить если интересно




PalR SL5.1 от Consistent Software Я эту прогу тут как то подымал, потом...


PalR SL5.1 от Consistent Software Я эту прогу тут как то подымал, потом забросил.
Возникла некоторая трудность. Суть в следующем. При запуске прога ищет фаил лицензии и если не находит выводит сообщение об этом и просит указать путь «Your application ........following:».
Как найти в какой dll-ке лежит эта фраза? Их примерно 40 шт. Просматривать hex-редакторе рехнешься. Может кто знает более легкий способ.
Сообщение отлавливается на bpx showwindow (и не только оно). У меня вроде получется что из sl5.dll или sl5.exe точнее сказать не могу. Кстати как их отличить в SoftIce? Но там этого текста нет. Может шифруется.
Vlad :: 1. Ссылку нужно хотч бы дать.
2. Размер программы.

PalR :: Прога 25 метров. Ссылы нет. В нете не распространяется, на офсайте демка.
Мне важны приемы.

Vlad ::
цитата:

Просматривать hex-редакторе рехнешься.



Попробуй Win32Dism или IDA
Скачать можно на этом сайте

PalR :: Во блин, а куда мой рейтинг дели?

XoraX :: запихивай всу кучу сразу в Restorator и делай Search

PalR :: Косвенными признаками определил что SL5.dll. По заглавию окна и фирме производителе защиты. Но текста самого окна нет. Видимо всётаки шифруется. Проверка лицензии от Globetrotter Software. Она видимо на этом специализируется. Кто чего слышал?

MC707 :: Самый простой способ, которым я пользуюсь - в TotalComm делаешь поиск AltF7 ищещь все файлы с подстрокой. Указываешь строку и в путь. 100% гарантии. Если ничего не найдет, то строка в юникоде. Ставишь соотв галочку и вуаля.

PalR :: MC707
Сенкс. Способ самый рульный. Текст нашелся.
2 D.e.M.o.N.i.X
Удалось разобраться с FLEXLm licebse ?

PalR :: Вобщем сломал я эту прогу. Не помогли ей FLEXlm-ы и Sentinel-ы. Гы-гы.:)
Может еще чего есть, буду тестить.

PalR :: Кто подскажет как вырезать из dll не нужный код. Около 350 кбайт.

PalR :: Загнул версию 5,2 :)

Nitrogen :: PalR
сама прога не интересна, а вот как уговаривал - оччень.. я правда прогу в глаза не видел :)

PalR :: при таком размере 28 метров - лучше и не видеть.
Заменой 2 байт.




Yraevtys Вопрос Посоветуйте, как найти ОЕР в проге ( Restore Data 1.01 с...


Yraevtys Вопрос Посоветуйте, как найти ОЕР в проге ( Restore Data 1.01 с сайта http://2dsoft.nm.ru/ упакованная UPX), если на ЕР она, при помощи ’ bpint 3’ , останавливается , а на ’bpm esp-4’ не реагирует, и сразу запускается?
ы :: upx -d
?

-= ALEX =- :: блин загружаешь прогу, пролистываешь код вниз, пока не увидишь кучу 0... чуть-чуть вверх, будет команда jmp xxxxx это и есть OEP

Runtime_err0r :: OEP=4E5B0C
Только мне сдаётся, что это нерегистрабельная демка по крайней мере мне так показалось с первого взгляда ...

Noble Ghost :: А прога вроде защищена недурно -- во-первых, автор знает асм :). Во-вторых, имеется защита на запись в адресное пространство проги. В-третьих, там присутствует намеренный вызов исключений (что-то типа, xor ecx,ecx; mov fs:[ecx], var).
-= ALEX =- пишет:
цитата:
чуть-чуть вверх, будет команда jmp xxxxx это и есть OEP


Весьма интересно: там перед OEP стоит PUSHAD, вместо POPAD. Такого я ещё не видел.

P.S. Правда всё равно кто-нить поломает и скажет, что защита -- фуфло.




The DarkStranger 2infern0 вобщем в асе тебя не реально поймать поэтому через...


The DarkStranger 2infern0 вобщем в асе тебя не реально поймать поэтому через форум спрошу короче я скачал дисассм от оли так вот при компиляции он просит инклуду dir.h я спросил у hexа и вообще на форуме запостил не у кого нету может у тебя есть или где ее вообще можно достать ???
XoraX :: The DarkStranger , может это то что ты ищешь:

http://www.filesearch.ru/...s?q=dir.h&t=f&w=a&x=0&y=0

The DarkStranger :: черт это что же получается все сурсы дисассма которые у меня есть написанны для линя ааааааааааааааааааааааааа черт :( блин где взять нормальные сусры дисассма на асме или с++ ????

infern0 Re: The DarkStranger :: на сайте ollydbg раздаются сырца отличного дизасма. Возможно это спасет отца русской демократии...
ps: я их отлично собрал под BCB6...

.::D.e.M.o.N.i.X::. :: infern0
А скомпиленым файлом не поделишься?

The DarkStranger :: infern0 пишет:
цитата:
я их отлично собрал под BCB6


ну тебе проще ты в с++ шаришь а я ........ только собираюсь его учить может поделишся нармальными сурсами мне все го то нужно получить выход на асм !!!! не буду же я щас учить с++ ради этого .........

infern0 :: .::D.e.M.o.N.i.X::. пишет:
цитата:
А скомпиленым файлом не поделишься?


.obj что-ли ?

infern0 :: The DarkStranger пишет:
цитата:
мне все го то нужно получить выход на асм


выходи в аську и оставляй координаты - я тебе кину asm выход

The DarkStranger :: infern0
координаты оставил :)

infern0 :: The DarkStranger пишет:
цитата:
координаты оставил :)


не наблюдаю. вообще сильно похоже на оффтоп, так шо пора завязавать. ЗАйди на реверсинг.нет, я там infern0_tsrh и пиши в приват - разберемся.

The DarkStranger :: infern0
вобщем я те написал но видно не дошло или я чето не понимаю вобщем мое мыло
angel_aka_ks@pisem.net
скинь пожалуста :)

infern0 Re: The DarkStranger :: ушло в мыло

The DarkStranger :: infern0
сенкс получил :)




Kerghan Кейлогер на асме Если у кого-нть есть...


Kerghan Кейлогер на асме Если у кого-нть есть исходники_кейлогера_с_возможностью_отсылки_на_мыло логов на асме скиньте мне на мыло. Кругом только делфяки и с :(.
GL#0M :: На хакере давным давно что-то было.
Если очень нужно могу поискать у себя выслать.

GL#0M :: Всё нашел. Правда услать никак не могу, типа сервер отвечает что в письме вирус. Что-то ничего придумать не могу. Сайт мой блин в дауне...

To MozgC: Что у меня с аватором? Почему форум не поддерживает мозиллу?

MoonShiner :: GL#0M пишет:
цитата:
Правда услать никак не могу, типа сервер отвечает что в письме вирус.


А с паролем запаковывать мама не учила? :)

GL#0M :: MoonShiner пишет:
цитата:
А с паролем запаковывать мама не учила? :)


Не у всех же такие мамы. Утро вечера мудренее. Туплю просто.
Сейчас попробую.

GL#0M :: Kerghan
Всё ушло.

Kerghan :: GL#0M
спасибо, тока он логи на мыло не шлет, а мне как раз это нужно




Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник...


Chirurg Защита проги от дизассемблирования PEID натравленный на ехешник утверждает, что она написана на Borland C++, но попытка дизассемблирования заканчивается ничем -W32DASM попросту виснет, не выполняя никаких действий. Какие противоотладочные приемы применил автор и как с этим бороться. Притом прожные dll-ки дизасмятся на ура.
GL#0M :: Chirurg

Используй IDA и всё будет ок. И с exe и c dll. :)

Chirurg :: GL#0M
IDA - больно уж долго, мне еще когда-то работать и спать надо :)

GL#0M :: Chirurg

Да у виндасма просто глюк есть, если размер екзехи очень большой, то он его ваще не грузит. Может поэтому...
Да и насчёт долго ты не прав... сигнатуры на что даны? Подгружаешь и всё ок.
Ещё DeDe есть... Так что вперёд!

MoonShiner :: Chirurg пишет:
цитата:
IDA - больно уж долго, мне еще когда-то работать и спать надо :)


Ага... ИДА продизасмит 5 минут, но в итоге ты спать будешь дольше, чем если будешь ковыряться в каком нить дерьме... Поверь старому раздолбаю, который ценит сон превыше всего:)

XoraX ::

Kerghan :: Chirurg
OllyDbg

Destroyer :: Вопрос конечно глупый, но ... А где эти сигнатурки в IDA включаются? А то продизасмил dll-ку, а там почти ничего нет.

Chirurg :: Ну, ладно, некогда мне - дарю!
Программа USBTrafficLabEvaluation.exe найти можно на www.download.com
Хз для чего она нужна, но обратите внимание на цену - 2100 $
Это вам не конь начихал!
Притом размер проги - 4.4 мб
Т.е. 1 мб = 500 $!
Защита - evaluation 30 дней, отключены save
Краки не предлагать, она мне на ... не нужна




Styx Ручная распаковка По нескольким статьям пробовыл делать ручную...


Styx Ручная распаковка По нескольким статьям пробовыл делать ручную распаковку.
Пишут, что LordPe слабовата. Советуют PEditror(ещё не пробовал) и PE Tools.
Но после дампа последним с указанными настройками и дальнейшим следованием
указаниям получаю exe-шники, которые после запуска говорят «Ошибка
при инициализации приложения (0xc0000005)». Сижу под Win2000, распаковывал UPX(запаковывал сам)
C LordPe и ImpRec, что-то получается, но дизассмблеры кричат, что я не прав ...
MozgC [TSRh] :: Читай статьи внимательно, надо таблицу импорта восстанавливать.

nice :: Styx
Повторяю миллион и один раз, в PETools надо сделать так:
Full Dump: paste header from disk = enable
Full Dump: paste import table from disk = disable
Full Dump: fix header = enable

MozgC [TSRh]
Пора этот вопрос в фак включать :)

MozgC [TSRh] :: Styx
У тебя косяк именно с PETools или и когда другими дампишь тоже?
Если со всеми, то ты значит не восстанавливаешь таблицу импорта, потому что такая ошибка C0000005 при этом обычно возникает, а если токо с PETOols попробуй сделать как nice написал. Лично я пользуюсь LordPE.

DEMON :: Парень LordPE намного лучше PETools!!! Че ты мучишь ж№;у????

odIsZaPc :: Styx
Читай внимательно:
http://cracklab.narod.ru/doc/pkk.htm

nice :: DEMON
В таких случаях добовляй ИМХО...

Это ничем не обоснованное утверждение, есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает), названия не помню, потому что давно пользуюсь РЕТуЛЗОЙ

Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...

Runtime_err0r :: nice

цитата:
Также не забывай, что Лорд уже умер и произойдет чудо, если он начнет развиваться...


ProcDump умер уже давно, но всё ещё иногда пригождается

-= ALEX =- :: блин, а я уж подумал, что разработчики этих прог умерли, тьфу. :)

DEMON :: nice пишет:
цитата:
потому что давно пользуюсь РЕТуЛЗОЙ


Каждому свое!!!! О вкусах не спорят.

RideX :: DEMON
Тогда и не говори:DEMON пишет:
цитата:
LordPE намного лучше PETools!!!


nice :: DEMON
Пойми, моё дело не подковырнуть тебя, просто когда народ так говорит, создается мнение, причем не правильное...

MozgC [TSRh] :: Вы че доебались до пацана?
Неправильное говоришь мнение? PETools глючит с настройками по умолчание, и юзать в этом случае LordPE который по умолчанию все без проблем дампит это неправильное мнение?
Тогда и сам не говори про неправильное мнение раз за словами других смотришь.

Styx :: Всем спасибо! А на счёт прог вы не спорьте надо иметь их под рукой как можно больше :)

Mario555 :: nice пишет:
цитата:
есть не один криптор, котрорый Лорд дампит не корректно(а РеТулз снимает)


Кста распаковывал я недавно какой-то пакер/протектор, который лорд сдампить вообще не мог (бред какой-то в Imagesize писал FFFFFFFF, ну и соответственно дампить не мог, интересно откудава он это брал... т.к. в памяти было правильное значение), а PeTools дампил нормально но с кривым header’ом ( пакер портил header вписывая в него ерунду всякую, нужно было копировать правельный header и потом (когда доходил до OEP) заменять испорченый на этот скопированный), дык вот при всём при этом плагин OllyDump не только снимал дамп (в отличие от LordPE) , но и откуда-то брал к нему правельный header (тоесть вручную ничего не надо было копировать). Так шо ИМХО OllyDump the best !!!

Offtop: Кто-нить знает есть ли в «природе» преведённые туторы с Cracklatinos по арме ? А то я уже зае*бался с эти испанским...

GL#0M :: Mario555

Вот мой сайтец из дауна выйдет и я запостю.

DEMON :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю


Какой сайт?????

nice :: MozgC [TSRh]
Видать ты не скачивал давно последнии версии, там NEO’x поправил, и опции по умолчанию идут нужные.

FEUERRADER :: Чего все приелись к PE Tools? Отличный дамповый движок еще поспорит с остальными! Но, соглашусь, PE Tools еще не совершенен.

MozgC [TSRh] :: У меня XMas Edition.
Где можно скачать последнюю версию?

RideX :: MozgC [TSRh]
Это и есть последняя :) Если у кого-то дамп после PE Tools не рабочий, скорее всего Size Of Headers = 00000000, ставишь размер 400..1000, и всё ОК ;)

Mario555 :: GL#0M пишет:
цитата:
Вот мой сайтец из дауна выйдет и я запостю.


Нашёл я сегодня несколько переведённых (на английский) туторов и прогу Pupe.
Но проблема вот в чём:

Ricardo Narvaja wrote

цитата:

....
in COPYMEM 2 there are two variants
the armadillos with 1000 bytes trick and with no 1000 bytes trick
THE TUTE OF ARMADILLO WITH 1000 bytes trick is the tut you are reading, and use the apis Wait ForDebugEvent, WriteProcessMemory etc.
For armadillos with copymem2 but no use the 1000 byte trick there are a tut in my FTP
150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI.rar
is in spanish and in this variant the father only create the son process but, the son run and self unpack , the father not participate of this process.
....



Переведи plz тутор 150-ARMADILLO con COPYMEM2 sin truco de los 1000 bytes por FLIPI, в английских то и так всё понятно, а в этом ничёго разобрать не могу.

Хм... Как в арме искать «подлянки» ? Распаковал по статье GetRight5 (правда версия у меня какая-то другая), вроде с дампом и импортом всё правельно (ну если бы было не правильно, то прога висла бы при вызове апи или на обращение к какому-нить «пустому» адресу в памяти). А она (гадина такая) падает где-то, причём далеко не в начале... В туторе по этому поводу вот что написано:
------------
STEP 4: HOW TO DEFEAT THE BOSS
The programmers (bad guys) don’t want getright 5 to run free, unpacked in our computer, and they have make some dirty tricks to make that.
Load tute_.exe or whatever your finished unpacked file calls into OLLYDBG.
Run it and you will notice that it suddenly closes.
BPX on GetEnvironmentVariableA and when it stops we have to change the conditional jump that is in the program when it returns from the API.
Take a look at the picture.
Here is where it stops in the BPX. Now return to the executable file with EXECUTE TILL RETURN and then press once F7.
This scheme is repeated many times so beware of this to fix it.
Replace the jump
Once again the same shit
Replace JNZ by JMP
You can look for all the calls to the API and replace the jump that is next to them. I’m showing them all to make it clear.
The fourth time that it stops it has no conditional jump on it so, hit run an the program starts. Play around with the program, use as many functions as you can so you can see if it stops again and replace the jumps if necessary and that’s all.
---------

Откуда взялась эта апи ? Почему именно она ? ...
Обычно такие косяки правятся после просмотра «места падения» в оригинальной проге, но как это сделать с Copymem, есть ли какие-нить способы ?




Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых...


Mario555 Olly vs Stos bytes Есть статья в которой описано нахождение краденых байт с помощью ollydbg. Скачать можно здесь .
У меня почему-то по способу данной статьи найти ничего не получилось (скорее всего потому, что я плохо знаю английский). Может кто-нить поймёт, что там написано... в особенности мне интересны действия после замены «rep stos byte ptr es:[edi]» на jmp edi.
Mario555 :: Оказывается существует простой способ попасть на начало полиформа с крадеными байтами.
F8--›ESP follow in dump (оно будет 12ffc0)--›BreakPoint Hardware, on access // получится что-то вроде айсовского bpm esp-4. Таким образом после последнего exception olly остановится там же где айс после bpm esp-4.

Есть плагин OllyScript (в Readme описание команд). С помощью него можно автоматезировать работу с olly. Например несложный скрипт «автоматом» проходит от EP до полиформа (ASPR)... Этот и ещё несколько примеров скриптов (прохождение к OEP) можно скачать отсюда .

nice :: Mario555
Метод с HArdware я давно использывал и хочу тебе сказать это не панацея.
Было не раз, что он не работал.

Статью отдал переводчице ;) проффесиональной, так что ждемс

Mario555 :: nice пишет:
цитата:
Было не раз, что он не работал.


Угу... но это где-то 1 случай из 10-ти. В 9-ти остальных всё OK, там и скрипт работает корректно.

SHaG :: Новая версия OllyScript v0.5 готова.

Качайте с http://ollyscript.apsvans.com

Если у вас есть предложения на тему дополнения функций пошлите msg на IRC (EFnet), nick: SHaG или ollyscript@apsvans.com =)




odIsZaPc Написан брутефорсер для CR@CKLAB Crackme #3 :) Наваял за пару...


odIsZaPc Написан брутефорсер для CR@CKLAB Crackme #3 :) Наваял за пару вечерков. Заценяйте, если кому интересно. BG говорит, что подобрать крякмис им рельно, тобиш написан он верно.
Ну что, есть обладатели «мэинфреймов»? Шучу! На Pentium 3 1000 GhZ 3 месяца полного перебора....
Сам перебор работает в потоке с приоритетом Idle, так что не мешает ни чему. Автоматическое сохранение результатов и прочая х###я....
Качать тут:
http://odiszapc.nm.ru/clab3_bruteforce
Но nm.ru затупляет, поэтому зеркало:
http://personal.primorye....orce/clab3_bruteforce.zip
Nitrogen :: odIsZaPc
а на асме?.. я к тому, что такими темпами действительно долго думать будет

Nitrogen :: вот блин.. на 2003 не пашет :(.. а то оставил бы на серваке крутиться..

Madness :: Generate proc
LOCAL i1 :BYTE
LOCAL i2 :BYTE
LOCAL i3 :BYTE
LOCAL i4 :BYTE
LOCAL bfBuffer_length :DWORD

push esi
invoke GetDlgItemText,esi,IDC_EDT1, offset bfBuffer,MAXSIZE
mov bfBuffer_length,eax
int 3
xor eax, eax
mov i1, al
mov i2, al
mov i3, al
mov i4, al

@i1:
movzx eax,i1
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[0],al
inc i1
@i2:
movzx eax,i2
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[1],al
inc i2

@i3:
movzx eax,i3
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[2],al
inc i3

@i4:
movzx eax,i4
lea ecx, string
mov al, byte ptr[ecx+eax]
mov temp[3],al
inc i4

mov edi, dword ptr[temp]
mov dword ptr[bfBuffer], edi
xor eax, eax
mov dword ptr[bfBuffer+4], eax
mov dword ptr[bfBuffer+4*2], eax
mov dword ptr[bfBuffer+4*3], eax
mov dword ptr[bfBuffer+4*4], eax
mov dword ptr[bfBuffer+4*5], eax
mov dword ptr[bfBuffer+4*6], eax
mov dword ptr[bfBuffer+4*7], eax

mov edi, 30001
@@: invoke procMD5hash,addr bfBuffer, bfBuffer_length,addr stMD5Result
mov bfBuffer_length, 32
dec edi
jne @b

mov eax, dword ptr bfBuffer
cmp eax, dword ptr C948E0
jne @f
mov ax, word ptr bfBuffer+4
cmp ax, word ptr C948E0+4
jne @f
invoke SendDlgItemMessage,esi,IDC_LST1,LB_ADDSTRING,0,off set temp
@@:
mov al, i4
cmp al, 36
jne @i4
xor eax, eax
mov i4, al

mov al, i3
cmp al, 36
jne @i3
xor eax, eax
mov i3, al

mov al, i2
cmp al, 36
jne @i2
xor eax, eax
mov i2, al

mov al, i1
cmp al, 36
jne @i1
xor eax, eax
mov i1, al

pop esi
invoke SetDlgItemText, esi, IDC_EDT1, offset bfBuffer

ret

Generate endp
По-моему так, написал еще в первый вечер, поставил на ночь - полностью перебора не дождался (хотя мож пароль и подобрался) и утром выключил. Че эта за крякми с брутфорсами, не барское это дело брутфорсить. ;)
Imho стоит попробовать поковырять R(не помню как его там), мож оно подбирается быстрее, цель то вроде - картинка была.

odIsZaPc :: Nitrogen
Мог бы на асме - написал бы... Так просто проще, но, увы, дольше...

odIsZaPc :: Nitrogen пишет:
цитата:
вот блин.. на 2003 не пашет :(.. а то оставил бы на серваке крутиться..


Как не пашет? У меня в XP все как надо. В чем трабл? Наверно из-за потоков.....
Madness
Какова скорость перебора? Замерял?

Nitrogen :: odIsZaPc
2003 и xp все же разные вещи..

odIsZaPc :: Nitrogen
Ну не такие уж и разные. Я вроде в никаких новаторских идей не использовал... А че прога выдает за ошибку?

Nitrogen :: odIsZaPc
да нет ошибки, просто осталось xxxxxxxx секунд до конца.. и висит

odIsZaPc :: Ух ты, я там есть... Честь-то какая :).... Кстати, есть идея реализовать ala распределенные вычисления и подобрать пароль за неделю. Но подозреваю, что это никому нах не надо... Реализации проста.

Nitrogen :: odIsZaPc
наоборот распред это здорово.

p.s bg, я изучал крякми только с помощью ида 4.60 и встроенного отладчика.. муля на счет «крякерского» софта даже не заикалась..

Madness :: odIsZaPc
›Какова скорость перебора? Замерял?
Написал же - до утра полностью не перебралось. :P

›Но подозреваю, что это никому нах не надо...
Конечно не надо, крякми надо корректные писать, где думать надо, а не сотню компов гонять.

odIsZaPc :: Madness пишет:
цитата:
онечно не надо, крякми надо корректные писать, где думать надо, а не сотню компов гонять.


Цель не только пароль узнать, но и организовать какой-никакой проект. Мне кажется это вполне интересно будет....

Madness :: odIsZaPc
›организовать какой-никакой проект.
Мне кажется интересным будет написание движка для распределенных вычислений, чтоб ему задать можно было условия и алгоритм.

Bad_guy :: Как статья, ляпов не нашли ? Вчера весь день делал, но не проверял потом.
http://cracklab.narod.ru/doc/clab3.htm

odIsZaPc :: Bad_guy
Пара орфографических ошибок канает, а так ничего...

odIsZaPc ::
цитата:
Качаем крякмис, ломаем, потом уже читаем статью:


Статью никто не прочитает.... :)

Bad_guy :: odIsZaPc пишет:
цитата:
Статью никто не прочитает.... :)


Я в одной проге увидел в SETUP фразу «Лицензионное соглашение не приведено, потому что по статистике его никто не читает»... Вот у меня тот же случай - никто мои советы слушать не будет.

Chirurg :: Bad_guy

Ну, почему же - я буду.
У меня один только вопрос: в кракмиксе введенный номер разве ни с чем не сравнивается? Например, с правильным?

Madness :: Chirurg
Номер - нет. Кусок хеша, первые 2 байта картинки - да.

Bad_guy :: Нехороший вопрос. Не ломай ты этот крэкми.

Chirurg :: Bad_guy
Мне пока не по зубам. Я учусь. И внимательно слежу за дискуссией

odIsZaPc :: Chirurg
Этот крякмис из раздела неломаемых. Или ломаемых на «мэйнфреймах» :)

Nitrogen :: odIsZaPc
он ломаем. метод - не важен, пусть даже хоть с помощью брутфорса

odIsZaPc :: Nitrogen
Я это и имел в виду.
P.S. Мне нужен нормальный хостинг с Perl и думаю я смогу организовать распределенные вычисления. Думаю на agava.ru, но пока не уверен...




Cigan Что с сайтами WASM, REVERSING Кто знает ответьте а то не открываеться и...


Cigan Что с сайтами WASM, REVERSING Кто знает ответьте а то не открываеться и смерть!!!
.::D.e.M.o.N.i.X::. :: Флудят их, а также еще wzor.net

XoraX :: поэтому пока что крэклаб - лучший в рунете...

.::D.e.M.o.N.i.X::. :: XoraX
Не накликай, а то и этот сайт положит...

Bad_guy :: XoraX пишет:
цитата:
поэтому пока что крэклаб - лучший в рунете...


Ес, мне это нравится... хотя хммм он и был лучший в рунете, моя главная «конкуренция» - это реверсинг, но статей там уж год нет, только форум так что... я очень надеюсь... ...

odIsZaPc :: А за какие такие грехи их флудят?

Nostradamus :: Просто дядя которого обосрали пивка поставил, а подписался там vlodya/wasm.ru.
А wzor и reversing имеют один ир.

А это для прикола - называется «Dzen танкизм или испытание самурая Volodya»

Бежит по полю мальчик Вовка,
За ним огромный едет танк,
Танк целит дулом Вовке в попку,
И Вовка воощем-то не рад,
Назад поглядывая шепчет -
«Догонит, жопу ведь порвет »,
А танк ...

volodya :: А ты у нас, оказывается, поэт. Пророк Хазыр, хе-хе.

Nostradamus :: volodya
А ты еще подствляеш peterhost - пока вы будете там квакать его будут досить.
А кликуху себе сам придумай :)

Nostradamus-baran :: пока вы будете там квакать его будут досить

Kto? Takie kak ti? Ha-ha-ha :)))))

Nostradamus :: Незнаю кто, но пошоже ведь на правду - peterhost.ru больше похож на пиликана чем на конкорда :)




Gloomy «анти бреак поинт» - интересный crackme Набрел на интересный crackme -...


Gloomy «анти бреак поинт» - интересный crackme Набрел на интересный crackme - уворачивается от отладчика, дизассемблер показывает чушь. По идее это должна быть программа не позволяющая ставить в ней бряки.

Оригинал поста в форуме тут
MaDByte :: Ничего интересного... Дестяки циклов расшифровки, каждый цикл расшифровывает следующий... Причем расшифровывает банальным ксором
Единственное чего добился автор такой «защиты» - это ее тормознутость

Kerghan :: элементарщина: обычный полиморфный код, ничего сложного
грузишь в olly, F9, analyse code, hardware on execution на push чего-то_там

Gloomy :: Kerghan
У меня прога в Olly не грузится - сразу же ошибка вылетает и просто так тоже не запускается :( Видимо из-за системы (w2k).
А как насчет бряков? Их действительно нельзя поставить как утверждает автор?

Madness :: Gloomy
Фигня, больше тысячи xor, а обходится все bpm messageboxexa.

›А как насчет бряков? Их действительно нельзя поставить как утверждает автор?
Можно :P Там проверяются первые 2 байта функции указанной выше.
На w2k и не пойдет - импорта вообще нету, а должОн быть как минимум kernell32 imho, на w98 у меня тоже не идет, а на xp заработало.




TankMan Как сделать дамп с помощью Delphi? Вот проблема такая возникла......


TankMan Как сделать дамп с помощью Delphi? Вот проблема такая возникла... кто-нибудь может поделиться информацией?
Мне нужно-то всего - как найти и исправить EP из дельфи, и как останавливать программу на определенном месте, допустим на самом EP... или чуть дальше... и править байты уже позже...т.е. добиться такого же еффекта как и в LordPE, только не в SI :)...воот... и вобщем непосредственно сам дамп процесса...
MozgC [TSRh] :: Найди у Хекса на сайте статью про Armadillo, он там писал дампер процесса на дельфи.
От этого и отталкивайся дальше. Хотя это не лучший вариант, но осуществимый.

TankMan :: ААА... Хекс это типа xtin.km.ru?

ээээ.. прочитал я эту статью... про дельфи ни слова... дамп делает прожка написанная на азме...
который я знаю на уровне... «читающего»...и понимающего основы его :(... во всяком случае на дельфи его... переделать...наврядли получится у меня %(

MozgC [TSRh] :: Да, хотя я тут подумал, больно левый это вариант =)

TankMan :: Так и чего теперь делать?

MozgC [TSRh] :: Попробуй для начала google: «process dumper delphi source»
Я серьезно. Я сам когда не знаю че делать, так делаю =)

Madness :: TankMan
У Hex’a «Примитивный трейсер 1 и 2». Там на делфи.




Olord Хочу халявный Интернет Хочу халявный Интернет


Olord Хочу халявный Интернет Хочу халявный Интернет
odIsZaPc :: Olord
Стань крышей провайдера

Bad_guy :: Olord
Обломайся, даже я его покупаю...

XoraX :: Olord , с необычайной легкостью дам тебе халявный Интернет. Переведи $100 на мой счет в банке и будет тебе инета...

MozgC [TSRh] :: Халявный бан не хочешь?

MoonShiner :: Olord пишет:
цитата:
Хочу халявный Интернет


А 2 года условно не хочешь?

Dragon :: Я один раз посидел час на халяву, так с моей законной карты целых 4 часа спёрли, просто больше не было, так что покупай лучше, типа так дорого чтоли?

odIsZaPc :: Dragon
А я, помниться, еще в бытность свою школьником, пер пароли у зажравшегось «приятеля» ламаки. На 3 карты его развел. Как я его лечил - это отдельная история... Помнится, он сваливал куда-то на целый месяц, и перед отъездом карточку купил. Я тогда еще не знал че за карта. Узнал я об этом вечером. Требовалось за два часа прикарманить карту, иначе не видать халявы. Сказано - сделано... :) Звоню ему и пролечиваю его на предмет проги, дающей халявный инет. Удачно пролечиваю. За 20 мин соображаю некую Delpi-звонилку аля Internet Unlim..... которая просит логин и пароль. Тока не звонит ни куда (почему интересно ? :))))))))), а заботливо кладет пароль куда надо... ОН мне звонит - НЕ РАБОТАЕТ, говорит. А я ему: «Так я ж тебе ДЛЛ-ку не выслал! Давай еще раз соеденимся»... Забираю пароль. Как выяснилось карта на 100 часов, из них потрачено всего 3!!! Он потом еще долго мне звонил, но было занято............... Смеркалось......

Bad_guy :: Что мы все издеваемся тут над бедным Olord ом - дам я ему халявный инет.
Телефон 88123727272 login:ptn, pasw: ptn. Пользуйся, друже...

odIsZaPc
Интересная история...
Расскажу свою (наверное тут нет того, у кого хоть раз в жизни не было хоть часа халявного инета).
Работали мы с пацанами в одной фирме, где больше компьютерищиков не было... Там было 5 компов и на всех мастдай (замечательная кстати для крэкерства ОСма). У меня тогда даже момеда не было. Короче когда мы видели окошечко со звездочками у нас на него был рефлекс и опенпасс, коороче кто кого обгонет. натырили мы там инета... а директору говорили типа у вас тут вирусы, хакеры инет воруют... дошло до того, что он после некоторого количества изменений пароля и походов к провайдеру (странно, но логи наших домашних телефонов они ему не дали) стал сам вручную вводить пароль каждый раз и потом уж мы сидели за компом, но был у нас и хукдамп... короче я увольнялся из этой фирмы самым последним и напоследок дир меня решил чуть-чуть на денежку кинуть и недоплатил 300 рубликов... это было как раз перед майскими праздниками... короче скупой и жадный платит дважды...

Bad_guy :: Кстати я тут своему провайдеру написал письмо нечто похожее на баг репорт ну и со всякими пожеланями - они мне в ответ подарили 20 часов нета !
Попробуйте со своим провом такое провернуть.
Кстати писал я им письмо не за инет, а «от души». Так что я уж не совсем бэдгай...

Nitrogen :: халявный инет - зло.. влетел на 7 штук и это еще хорошо отделался.. светило 35 штук..

MoonShiner :: Nitrogen пишет:
цитата:
халявный инет - зло..


Точно. Особенно в маленьком городе:( Сам влетал...

UnKnOwN :: MoonShiner
Такая же была история, поддерживаю, кстати

Nitrogen пишет:
цитата:
халявный инет - зло..


это тоже правильно, тут как в той поговорке, «хочеш кататься, надо и саночки возить»

Olord Re: Bad_guy :: У меня и еще двух моих одноклассников и одного друга-халявный инет. Просто создал форум, думал идеи выложите!

Olord :: Undial

Olord :: Undial.exe

Olord :: У меня и еще двух моих одноклассников и одного друга-халявный инет. Просто создал форум, думал идеи выложите!




FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть:


FEUERRADER ...imprec.dll В инструкции к ImpREC.dll by MackT есть:
BOOL RebuildImport(DWORD pid, DWORD oep_rva, DWORD iat_rva, DWORD nb_recursion, LPTSTR dump_filename)
Не нашел расшифровки параметров. Не понятны iat_rva и nb_recursion.
iat_rva видимо rva таблицы импорта. Откуда берется, если пакер проги неизвестен???
И что за nb_recursion???

Очень надеюсь на помощь. Спасибо.
MozgC [TSRh] :: IAT_RVA вводится юзером
либо ImpRec находит RVA после автопоиска.

MozgC [TSRh] :: Подозреваю так же что nb_recursion это количество рекурсий, т.е. сколько раз импрек будет входить в процедуры чтобы распознать функцию.

FEUERRADER :: MozgC [TSRh]

цитата:
IAT_RVA вводится юзером
либо ImpRec находит RVA после автопоиска


Смотри, процесс останавливается на ОЕР проги, пакованной UPX. Теперь делаю
RebuildImport(lppi.dwProcessId, 0x44F390, 0, 1, «dump.exe»);
Всё делаю на msvС++.
Выходит сообщение Could not find anything good at this OEP. Пробовал rva_oep вводить без imagebase, но резульатат такой же.
В чем ошибка-то???

MozgC [TSRh] :: А че ты 0 то суешь вместо IAT_RVA?

FEUERRADER :: MozgC пишет:
цитата:
А че ты 0 то суешь вместо IAT_RVA?


Дык я и спрашиваю, мож кто знает, как программно на с++ просто найти iat_rva у прог UPX??

MozgC [TSRh] :: Ты сначала посмотри будет ли работать если туда сувать не 0, а потом будешь думать как iat_rva автоматом найти =)




DiveSlip SoftICE Какая версия Айса сейчас является последней?


DiveSlip SoftICE Какая версия Айса сейчас является последней?
DEMON :: DiveSlip пишет:
цитата:
Город: тот, что на Неве


Как я понял ты из Питера?! Мне казалось что последняя 4.05, но недавно в одной из тем на этом форуме писали что есть Visual SoftIce. Так что не знаю!

TankMan :: Посмотри внимательно раздел Скачать

odIsZaPc :: DEMON
VisualSoftIce - это лишь средство удаленного управления обычным Si. Это никакая ни новая версия.... :(

DiveSlip :: Просто у меня версия 4.3.0, что из DriveStudio 3.0. Но вот уже прошло около года с момента выхода DriverStudio 3.0, а за год можно было не одну новую версию сделать...

FireFly :: Есть Driver Studio 3.1 (180MB)
из полезного - SoftIce теперь умеет работать с VMWare.

The DarkStranger :: FireFly пишет:
цитата:
Есть Driver Studio 3.1


и как там тоже бряки через контекст ставить нуно ??? или это уже поправили ???

FireFly :: The DarkStranger пишет:
цитата:
и как там тоже бряки через контекст ставить нуно ?


Через контекст?

infern0 Re: FireFly :: да, через контекст. И это было документировано изначально, протсто в 2.7 почему-то работало и без контекста. Хотя в доках написано что при наличии загруженных символов на АПИ должны ставится контекстно независимые бряки, но ....

DiveSlip :: FireFly, А откуда этот DriverStudio 3.1 скачать можно?

FireFly :: http://forum.andr.net/vie...04&highlight=driverstudio

DiveSlip :: FireFly, жаль только ссылочка у меня не пашет....

FireFly :: там сайт перегружен - поставь регетом стучаться по всем ссылкам...

FireFly :: хмм... что то у меня глючит - когда SI выскакивает то почемуто высвечивает команду на одну позицию ниже, чем текущая... мелочь, но не приятно... никто не сталкивался?






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS