Оригинальный DVD-ROM: eXeL@B DVD !
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

АРХИВ ФОРУМА eXeL@B
https://exelab.ru/f/

   

KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на...


KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на asm или Delphi??




KLAUS Секции в exe Всем привет!!


KLAUS Секции в exe Всем привет!!
Народ подскажите как сделать чтобы Экзешник мог содержать одну единственную секцию, в которую можно бы было натолкать все??
MoonShiner :: ИМХО, можно так сделать, тока зачем? Делается тупо (теоретически, сам так не извращался:). Берешь любой ехе (попробуй для начала на файле без релоков и ресурсов), удаляешь имена секций кроме первого, вставляешь между ними нули, где надо, чтобы подогнать виртуальные адреса, по которым секции должны грузиться и правишь физический и виртуальный размер первой секции, чтобы все захватились.

Madness :: KLAUS
Типа такого:
LINK.EXE /SUBSYSTEM:WINDOWS /MERGE:.data=.text /MERGE:.rdata=.text
ЗЫ. .rsrc постарайся не трогать.

KLAUS :: Всем большое спасибо!!!




FEUERRADER ОФФТОП. Жириновский-Эксклюзив :) Кто-нибудь слышал о сабже?...


FEUERRADER ОФФТОП. Жириновский-Эксклюзив :) Кто-нибудь слышал о сабже? Говорят, в инете есть ролик 12 мб, где реально жириновский сидит со «свомим» ребятами и материт Буша (маты не закрыты!) Вырезки еще по центральным каналам ТВ показывали год назад вроде. Скандал был...
Может кто знает, где ролик есть в инете?

Кто вообще об этом ничего не слышал, вот тут я положил яркие вырезки из этого ролика, можете ознакомится
http://feuerrader.nm.ru/zhirinovskii-compromat.rar [~200Кб]
DEMON :: Классно!! Жырик клевый черт!!!! Интерестно сколько он зарабатывает????

Bob :: FEUERRADER
Вот когда он выступал, мы скачали. Там на самом деле мат на мате. Только откуда непомню, а остался на винте или нет надо будет посмотреть.

Z :: Здесь

Смеялся долго

Kerghan :: я полную версию видел
смешно

MoonShiner :: Я тож... Там минут на 10. Прикольно:)

XoraX :: похоже на полную версию. сам не качал...

[http://filez.mazafaka.ru/lol/mp3/bagdad.zip]

mnalex :: Ребят, а вы его внимательно послушайте... он там что то про российских ученых заикается... что то про гравитацию... я тут недавно статейку встречал, так там на это интервью ссылаються, и делаю предположения, что есть разработки в плане управления гравитацией, и мол по этому в России начали закруглять космические программы, мол на новом движке ничо этого ненужно будет... Вобщем конкретно непомню, чото статью найти немогу... С одной стороны это конечно же выдумки, а с другой - былобы прикольно...

Char :: Не только крэкеры смотрят фильмы про Жириновского сматом )))
Журналюги тоже. .
Линк умер, а фильм на винте (((




pAva Чет не могу найти SuperBPM for WinNT. Помогите, плс. Замыльте ссылку,...


pAva Чет не могу найти SuperBPM for WinNT. Помогите, плс. Замыльте ссылку, плс: pava##bk.ru
pAva :: Упс. Сорри. уже нашел :-) Биг санкс Runtime_err0r
http://www.zone.ee/Runtime_err0r/superbpmfornt.zip




]ReDSiCkLe[ Какие сайты поддерживают при


]ReDSiCkLe[ Какие сайты поддерживают приём креков в свои crack-базы? См. в теме
MozgC [TSRh] :: www.cracks.am

]ReDSiCkLe[ :: Спасибо за линк! Я туда уже заслал несколько экземпляров свой деятельности.А не подскажешь, через какой интервал времени присланные креки выкладывают на этом сайте?

]ReDSiCkLe[ :: Кстати, я не страдаю манией величия. Мне просто обидно, что к давно взломаным программам
люди не могут найти креки в сети.

]ReDSiCkLe[ :: Ребята!!! Пожалуйста дайте еще какие-нибудь линки!!!

GL#0M :: ]ReDSiCkLe[
Набери в гугле «send cracks» и будет тебе дохера сайтов... не ленись искать сам.

XoraX :: crackz.ws
cracks.thebugs.ws




DiveSlip DriverStudio 3.1 Здесь уже раньше давали ссылки на exetools и...


DiveSlip DriverStudio 3.1 Здесь уже раньше давали ссылки на exetools и fixdown, что оттуда можно слить данный дистрибутив. Но вот скачал я первый том архива этого дистрибутива с exetools (по ссылке ftp.exetools.com/incoming...dio_v3.1-FCN/f-cd3101.zip), там же содержится Driver Studio 2.7 (размеры сверил со своим дистрибутивом, они оказались одинаковыми, что в принципе и должно было быть), но вот насторожило большое количество томов, целых 38 (размер каждого 4.8 метра). То есть получается 182 метра (размер дистрибутива DriverStudio 3.1). Решил все-таки узнать может кто уже качал DriverStudio 3.1 или Айс из него? Может быть поделитесь ссылкой?
nice :: DiveSlip
Автор сайта, очень сильно просил никому не давать пароли вне форума,
там и так связь не ахти, поэтому сотри пароль, а дай линк на страницу где можно его посмотреть

DiveSlip :: nice, извини не знал. Вот линк на страницу: http://www.exetools.com/f...read.php?s=&threadid=2232.

nice :: DiveSlip
Спасибо!
Вроде кто то качал уже эту штуку, но мне по диалапу не реально :(

Nitrogen :: да _весь_пакет_ столько и весит

DiveSlip :: То есть можно качать или нет? Скачать с fixdown мне кажется нереально, так как никакие дозвоны там не берут, к сожалению.

Nitrogen :: DiveSlip
у меня стоит 3.1 скачаная с фиксдауна..

DiveSlip :: На фиксдауне не качает у меня к сожалению

DiveSlip :: Nitrogen , а какая версия Айса в Driver Studio 3.1? 4.3.2 или 4.3.1?

nif Re: DiveSlip :: v 4.3.1.1722

У меня с ней IceExt 0,57 не скрывает от детекта ;)

FireFly :: поройтесь в p2p сетях




Tollya Странное поведение SoftICE Пытаюсь распаковать прогу Offline Explorer...


Tollya Странное поведение SoftICE Пытаюсь распаковать прогу Offline Explorer 3.0. http://www.metaproducts.com/default.asp
Вот что у меня происходит. Я попробовал на многих программах. Без разницы упакованные они

или нет. Просто Offline Explorer мне первый попался. Сама прога рабочая запускается нормально. Я

Запускаю PE Tools, выбираю Break & Enter. В отладчике ставлю бряк на 3-е прерывание жму OK.

Прерываюсь на EP проги. Дальше «e eip 60». Самое интересное начинается сейчас, В SI жму F5 и...

После выполнения этой команды происходит что-то странное. Во всяком случае я такого раньше не

встречал. Вылетает из SI и ни чего не происходит, но процесс остается в памяти. В диспетчере задачь

он занимает ровно 50% времени ЦП.
Если я иду по F8, то дохожу до 001B:007FC517 xor byte ptr [ebx+edi+0f0e86ed4h],59. И именно

на этой команде спотыкаюсь.В отладчике из MVC++ 6.0 эта команда проходит нормально, а в Delphi 7

таже история. И еще у меня OfflineExplorer Pro 3.0.1482 Release.
Такая фишка встречается примерно у каждой 5-ой программы. Я попробовал сделать так.

Заменил эту команду jmp-ом на следующую, а Xor вычислил сам и подправил в памяти. Все прокатило.

Беда только в том, что Эта команда выполняется в цикле хз сколько раз. Может кто слышал о таком

странном повидении отладчика?
И еще я распаковал Offline Explorer. ASPackDie его берет. Но ни один BP да же в

распакованной проге не ставится, а если и ставится то таже история. То-что я его распаковал

распаковщиком не значит что я не хочу сделать то же самое вручную.




TankMan Восстановление импорта... не понятны некоторые функции Я тут по...


TankMan Восстановление импорта... не понятны некоторые функции Я тут по туториалу (нашел я его всетаки :) ) распаковывал файл... правда не тот что был в туториале... поэтому возникают несколько вопросов... когда я восстанавливал импорт imprect как положенно не определил несколько функций, насколько я помню, их нужно в ручную выбирать из списка, а для этого нужно определять что же за функцию туда нужно поставить, методом простого анализа возвращаемых данных... вот например если функция возвращает адресс по которому находится строка, с путем к файлу, то значит это - GetCommandLineA.... и все... это все что осталось в моем мозгу, по остальным возвращаемым данным я не могу вспомнить что за функция возвращает такое же :(....
может есть какой-то способ определения какая именно функция должна стоять на месте не определенной функции?(кроме того что предложил(повторил) я), или может есть статья с всевозможными вариантами? или еще чего-нибудь?
А если нет, то скажите что за функция возвращает:
FFFFFFFF - ?
80C800C0 -?
0A280105 - ?
И еще, откуда брать ворованные файлы? или они всегда в разных местах? или есть алгоритм их поиска?

nice :: TankMan
Эти ф-ии указывают в небо, тебе нужно их УДАЛИТЬ
00хххххх - а вот такие имеет смысл востанавливать...

DiveSlip :: FFFFFFFF - GetCurrentProcess
0A280105 - GetVersion

MoonShiner :: TankMan пишет:
цитата:
80C800C0


А вот это вродь пустышка... Но точно не уверен, надо зырить

TankMan :: А что вместо нее нужно ставить? LockResource? или еще чего?

TankMan :: Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error...:(... отловил этот messageboxa, но ничего от туда не нарыл, функция чертзнает откуда вызывается :(... наверное он проверяет на распакованность?... а как это можно отловить? я думаю есть какие-то стандартные уловки на поиск того места где это проверяется?

nice :: TankMan
Что это за программа? Чем запакована?

DiveSlip :: А можно ли с помощью OllyDbg восстановить импорт? Имеется ввиду вручную определить те функции, которые не распознал ИмпРек или Revirgin (например, как в Айсе, ставя бряк на адрес и смотря, что является результатом функции).

nice :: DiveSlip
Смотришь CTRL+g и вводишь адрес ф-ии

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

TankMan :: nice
Программа LanTalk XP а запакована аспром 1.23... или что-то в этом духе (рядом)...

nice :: TankMan
Дома гляну, кажется я её распаковывал

Mario555 :: TankMan пишет:
цитата:
Эх... распаковать распаковал... другая проблема возникла :( - почему-то выдает ошибку Internal Error


У меня вроде никакой ошибки не выдавал... Хотя точно уже не помню, давно было.
Ты байты то восстановил ?

00414AB7 ›/$ 55 PUSH EBP
00414AB8 ¦. 8BEC MOV EBP,ESP
00414ABA ¦. 6A FF PUSH -1
00414ABC ¦. 68 906F4300 PUSH dumped_.00436F90
00414AC1 ¦. 68 88874100 PUSH dumped_.00418788
00414AC6 ¦. 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
00414ACC ¦. 50 PUSH EAX
00414ACD ¦. 64:8925 000000›MOV DWORD PTR FS:[0],ESP
00414AD4 ¦. 83EC 58 SUB ESP,58
00414AD7 ¦. 53 PUSH EBX
00414AD8 ¦. 56 PUSH ESI
00414AD9 ¦. 57 PUSH EDI
00414ADA ¦. 8965 E8 MOV DWORD PTR SS:[EBP-18],ESP

TankMan :: Да дело в том, что она запускается, и просит выбрать язык интерфейса, т.е. стартовала она нормально, но вот после того, как язык выбран, она вылетает :(

А кстати, а вот эти байты, что ты дал, они всегда одинаковые?

Madness :: TankMan
Ссылку на reg_name поправил?

DiveSlip :: Madness , а можно про reg_name поподробнее? Просто у меня тоже иногда распакованные программы не запускаются, хотя вроде все правильно восстановил, и я никак не могу понять почему.

Madness :: DiveSlip
В программе есть адрес, по которому хранится offset имени зарегистрированного юзера или нуля в противном случае. Этот адрес указывает на код аспра, который после распаковки будет отсутствовать, соответственно получится access violation. При распаковке с валидным ключем, изменении оффсета имени, динамической раскриптовки кода возможно падение при этой самой распаковке, причина в 1 бите, из-за которого прога опять-таки лезет в код аспра, лечится его изменением и выдиранием этих самых кусков.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

Madness :: TankMan
›А кстати, а вот эти байты, что ты дал, они всегда одинаковые?
Нет, конечно.

DiveSlip :: А как эти куски обнаружить? Как узнать адрес, где хранится имя юзера?

Madness :: DiveSlip
Ищи апи аспра.

DiveSlip :: Madness , спасибо, правда я не понял, что такое апи аспра.

-= ALEX =- :: TankMan прочитал бы хотябы мою статью www.alex2kx.nm.ru/aspr123rc4unp.html
P.S. мож кто статью подправит для сайта cracklab ? а то влом самому...

Madness :: DiveSlip
Скачай аспр, да в справке поищи что-нить типа GetRegistrationName или че-нить в этом духе.

TankMan
Насчет импорта, кста, http://kpteam.com/index.php?show=tools




NiKolDnan Открываю сайт новый Где добыть новых кряков или где вед


NiKolDnan Открываю сайт новый Где добыть новых кряков или где ведёться их топ,где скачать уникальные,чтоб народ шёл.
Помогите запарился искать!!!!!

Mustafa :: Поддерживаю сайтик о кряках бы счас непомешал,а местечка выдаш под-домен а?
Хотелось бы повысить уровень сайтов о кряках,хочеться чего-то простого без рекламы ванючей!!!!!!

MozgC [TSRh] :: 0day

hOrNeT ::




hammer Keygen для Interbase 6.5 Уж очень влом самому делать ключеделку на...


hammer Keygen для Interbase 6.5 Уж очень влом самому делать ключеделку на лицензии для пользоватлей для InterBase 6.5, может кто встречал или у кого-то есть?
Python_Max :: С вопроса я понял, что ищется кейген для того, чтобы _юзать_ программу...
А смысл? Не легче скачать FireBird поновее? Можно сказать, что FireBird - это iBase, в котором исправлены баги, к тому же бесплатный

XoraX :: hammer пишет:
цитата:
Уж очень влом самому делать




MoonShiner :: XoraX, че лыбишься? :) А ты можешь показать мне человека, которому бы это делать (и сделать!) было не влом? :)




TankMan Распаковка Аспротекта 1.2х 1.3 Подскажите плз.. хорошую статью,...


TankMan Распаковка Аспротекта 1.2х 1.3 Подскажите плз.. хорошую статью, которая рассказывает о том, как распаковать Аспротект в ручную, ну или можть прожка уже есть... а то я так ничего и не добился, прочитав статью у Хекса по поводу распаковки... конечно хекс грозился написать прожку для автоматизации получения нормального импорта.. может и написал, но я об этом ничего еще пока не знаю...
Я блин даже ради той статьи поставил ХР :)... хоть я и преверженец 98...
TankMan :: Аааа... и еще скажите плз где скачать Super BPM для NT, я на программерстулс поискал не нашел :(

Runtime_err0r :: TankMan
Если IceExt 0.57 запущен, то SuperBPM не нужен а импорт можно с помощью AsprDbgr восстановить без геморроя

Madness :: TankMan
Тебе мое письмо от 14.12.2002 повторить? :lol: С того времени только поиск OEP и изменился то.
А статей по аспру дофуя, кто-то очень ленивый только.
(Подсказка: хотя бы кнопочка наверху - Статьи)

XoraX :: Runtime_err0r пишет:
цитата:
Если IceExt 0.57 запущен, то SuperBPM не нужен


а у меня без него нихрена не работает...

TankMan :: Madness
Дык я смотрел смотрел... в этих статьях, еще вчера, (не все прям конечно..) но наткнулся лишь на какие-то туториалы по созданию кейгенов и распаковки аспака :(... вот такие вот дела :( поэтому-то и написал
Темболее, по сравнению с 14.12.2002 изменился не только поиск OEP а еще и восстановление импорта сложнее стало, судя по статье у хекса... :( (да и с моим коннектом в 21 кб... не очень приятно все подрят статьи открывать... :( )

Runtime_err0r
А почему тогда в одной из статей, я видел что в списке необходимых прожек есть SuperBPM, и далее по туториалу требуется какраз его запускать, чтоб его при старте аспротект не обнаружил... (или это я про другой пакер читал... )
Вобщем... наверное он всетаки есть, так как там было написано «Super BPM for NT»... и IceExt тоже был...

TankMan :: И еще к Runtime_err0r ... а где достать этот AsprDbgr ? чего-то мне поисковики ничего путного не дали :(

mnalex :: XoraX
Слушай, а и де можно дастать SuperBRM для XP, а то я все что нахожу (уже штук 10 перекачал) - для 9х :(

MozgC [TSRh] :: Ребят вы че все издеваетесь?
IceExt и впуть! Какие нафик SuperBpm для NT? Это в аспре то ?

TankMan :: Ну хорошо... поверим твоему опыту... но всетаки, где взять этот AsprDbgr?

Runtime_err0r :: mnalex

цитата:
Слушай, а и де можно дастать SuperBRM для XP, а то я все что нахожу (уже штук 10 перекачал) - для 9х :(


http://ddcrack.myetang.co.../attach/superbpmfornt.zip

цитата:
но всетаки, где взять этот AsprDbgr?


_http://www.zone.ee/Runtime_err0r/asprdbgr_build_1 04.zip

P.S. У меня IceExt стоит и я SuperBPM не пользуюсь !!!

TankMan :: хм....А почему ссылка то неработает на AsprDbgr?

XoraX :: а вот почему без супербпм бряки вообще не срабатывают, када аспр распковываешь? как тока включаю супербпм - начинается райское наслаждение...
либо зависит от ОС, либо у меня руки wrong...

RalF :: патамуша аспр их убирает

Runtime_err0r :: TankMan

цитата:
хм....А почему ссылка то неработает на AsprDbgr?


Там пробел лишний случайно образовался

mnalex :: Runtime_err0r
Хм, а чо SuperBrmfornt некачает? Чо это за сайт китайский? Там для 9х - есть, а для Nt - ненаходит :( ... чо делоть то?

MoonShiner :: Держи способ. Для XP без сервиспаков точно. Если не совпадает - сам смотри
U NTContinue
a NTContinue
›jmp 77F50900 (у тебя может быть другое. Это неиспользуемое после загрузки место в заголовке. Должны быть нули...)
ESC
u 77F50900
a 77F50900
›mov eax, dword ptr [esp+4]
›btr dword ptr [eax],4
›mov eax,20 (стоит первой командой в NTContinue у меня)
›jmp NTContinue+5

NTContinue экспортится из ntdll.
Способ рассказал на форуме Dr.Golova

Runtime_err0r :: mnalex
Перезалил: _http://www.zone.ee/Runtime_err0r/superbpmfornt.zi p

mnalex :: Runtime_err0r
Сенкс, стянул... примного благодарен!!!


mnalex :: MoonShiner
Спосибки, бум пробовати... Тока у меня с сервиспаками...

DEMON :: TankMan пишет:
цитата:
хорошую статью, которая рассказывает о том, как распаковать Аспротект в ручную


Нааааааа _http://cracklab.narod.ru/doc/wasm1.htm

DEMON :: Че за дурость???

TankMan :: DEMON
АААа...ээээ...а причем тут аспротект да структура PE файлов?

mnalex :: А как быть с ресурсами после распоковки? А то блин пишет что чото не того. Распоковывал по статье Алекса, его же крякми... После распоковки работает, но когда залажу ресторатором и правлю, при попытке сохранить - пишит что ошибка :(... чо с этим делать то? Пробую открыть ДеДе (опятьже файл написан на Делфях) - непроходит Extended Analis, потом - форма есть, а процедур нет... вобщем хрен поймешь... Ида сказала, что «The imports segment seems to be destroyed». Подскажите...

mnalex :: Да, у меня без SuperBrm бряки срабатывают через раз на этом крякми ... так что фиг его знает...

Runtime_err0r :: mnalex
С ресурсами так - попробуй открыть распакованный EXE’шник в PEExplorer’е и пересохранить, он кажись сам ресурсы перестраивает. А на DEDE забей - крякми по-моему на KOL написан хотя я не уверен на 100%

DarkCoder :: На www.is.svitonline.com/syd лежит стриппер 2.07 - АСПр 1.23 вроде снимает
правда скоро появиться версия 2.11 для АСПра 1.3.
Рекомендую, если руками никак не получается.

-= ALEX =- :: Runtime_err0r пишет:
цитата:
крякми по-моему на KOL написан


мда... :) странно ты как-то определил, что он на KOL написан...
DarkCoder пишет:
цитата:
правда скоро появиться версия 2.11 для АСПра 1.3.


Чувак, уже давно есть LOL

mnalex :: -= ALEX =-
Есть то есть, да только для узкого круга доступа, а нам простым смертным к сожалению пока недоступно, если конечно вы неподарите нам, что бы мы могли быть благодарны за помощь ;) ...
Да, кстати, там в описании распаковки неточности... Ну это несущественно, если подумать головой допрешь и сам ;)

mnalex :: Runtime_err0r
Сенкс за подсказку, тока я уже сделал сам, т.е. не сам, а с помощью РеТулсов, там есть Перестроить Пе, вот после перестройки все стало ок ;) ...

mnalex :: -= ALEX =-
В статье желательно дописать, что нужно восстановить структуру ресурсов.

MozgC [TSRh] :: -= ALEX =- пишет:
цитата:
Чувак, уже давно есть LOL


Ты же знаешь что у большинства его нет, зачем хвастаться?

-= ALEX =- :: извиняюсь :)

Runtime_err0r :: -= ALEX =-

цитата:
мда... :) странно ты как-то определил, что он на KOL написан...


В каком смысле странно ? Так на чём он написан ?

-= ALEX =- :: просто на дельфи... по размеру разве не видно ? да и так даже если посмотреть на структуру...

Runtime_err0r :: -= ALEX =-
Я же сказал по-моему, просто искать на диске было лень




666 Экспорт встроеных функций BorlandDelphi(OPas) в SoftICE с целью установки...


666 Экспорт встроеных функций BorlandDelphi(OPas) в SoftICE с целью установки BP См. в теме
666 :: Вопрос, как коректно подключит встроенные(внутренние) функции BrldDelph к SoftISE?
DeDe делает экспорт sym не корректно (кстати экспорт в WDasm кажется вообще не работает во всяком случае не открывает его WDasm)
IDA экспортит но BP на уже известных функциях (по имени) не работает

Есть правда одно НО, эти функции находятся в .exe файле а не в dll не является ли это проблемой?

Кстати файл ничем не запакован и не защищен, я просто хочу узнать алгоритм, каким образом ... (см. начало)

nice :: 666
По поводу айса я не знаю, т.к. delphi использует vcl а не dll

А вот на сайте кроакера я видел пару сторонних плагинов для иды, которые могут тебе помочь с DeDe...

666 :: Спасибо nice за инфу, к сожалению для меня ничего не говорит «сайт кроакера», если возможно ссылку plz.

И вообще кто либо серьезно занимался подобными вопросами? Т.к. в статьях которые мне досих пор встречались
на тему типа «Принцип взлома программ написаных на BrldDelph», начинается все с DeDe а заканчивается примерно так «после того как ничего не вышло я решил проверить прогу на стандартное переполнение буфера», это не дело, нужно отладить алгоритм.

Если кому встречались ДЕЙСТВИТЕЛЬНО дельные статьи на эту тему то не поленитесь оставьте ссылочку.

nice :: 666
http://kickme.to/cr0aker

infern0 :: 666 пишет:
цитата:
начинается все с DeDe а заканчивается примерно так


не понимаю. Там и без де-де все просто. mov reg, offset pclass call classCreate
идешь по ссылке pclass и там все методы, свойства и т.д. - как раз то что деде делает.

А функции невозможно в айс подключить. айс умеет брякатся _только_ на функциях которые экспортируются из dll. Тогда просто подгружаешь эту DLL через symbol loader как exports и можно брякатся.
Кстати bpl/dpl это те же самые обычные dll. На них тоже можно брякатся , но ТОЛЬКО если exe использует динамическое подключение bpl, о чем в реальной жизни можно только мечтать.

666 :: infern0 пишет:
цитата:
А функции невозможно в айс подключить.


Не верю, должен быть путь чтобы это сделать.
Согласитесь, экономия времени. Пошагово:
1. Декомпилируем исполнимый файл (я пропускаю распаковку и т.п.)
2. Экспорт внутренних функций в SoftICE
3. Установка BP

Это даже очень реально (я так думаю ;) ), если нет никаких сведений что это уже кто либо делал, то я этим займусь
Если сведения есть то скиньте ссылку.

Или докажите что это не возможно (желательно на примерах)

infern0 :: 666 пишет:
цитата:
1. Декомпилируем исполнимый файл (я пропускаю распаковку и т.п.)
2. Экспорт внутренних функций в SoftICE


и так какждый раз для каждого следующего файла. херня все это...

infern0 :: в таком случае лучше сразу в иде отлаживатся, после применения соотв сигнатур и не трахать себе мозги..

666 ::
infern0 пишет:
цитата:
и так какждый раз для каждого следующего файла, в таком случае лучше сразу в иде отлаживатся, после применения соотв сигнатур


Да, наверное это так и есть, хотя я думаю если соответстующую фичу написать (если это возможно) то это будет на любителя как работать.

Но при отсутствии таковой, есесьно не теряя времени остаемся на прежних методах

infern0 отговорил от, как было сказано выше, траханья себе мозгов, спасибо

.::D.e.M.o.N.i.X::. :: 666
Проще декомпильнуть прогу с DeDe и поставить бряк на адрес, который тебя заинтересовал, а не трахаться с функами.




NShut где взять ResRebuild dr.Golova pleezzz? Я уже весь нет перерыл, нигде...


NShut где взять ResRebuild dr.Golova pleezzz? Я уже весь нет перерыл, нигде не могу resourse rebuilder найти. Мне нужно секции аспра вырезать.
wasm.ру вообще исчез кудато. Люди если есть скиньте на мыло mene[dogy]yandex[tchk]ru
или дайте хотябы линк.
А может он уже и не нужен???? если возможно сделать без него, то пожалуйста скажите чем и как?
-= ALEX =- :: NShut пишет:
цитата:
А может он уже и не нужен???? если возможно сделать без него, то пожалуйста скажите чем и как?


смотря что тебе надо...

NShut :: надо вырезать секции аспра 1.23 rc4
примеры вырезания видел только на dr/Golova больше док не нашел

-= ALEX =- :: resource rebuilder служит для того, чтобы перестроить таблицу ресурсов хотя бы в первоначальный вид, а удалить секцию можно с помощью рук и двух тулз: редактора pe файлов и 16-го редактора

RideX :: Есть два варианта:
1. Оставить эти секции
2. Без Rebuilder’a не обойтись, часть ресурсов лежит в секциях ASPR’a, перед тем как их удалять, ресурсы нужно собрать «в кучу» и сохранить в файл, чтоб потом можно было его «прикрутить» обратно.




Bad


Bad_guy ...и ahteam.org «крякнулся» Теперь еще кроме васма и рверсинга еще и ahteam.org крякнулся... я фигею, самое странное что васм и реверсинг до сих пор не воссатновили работу. Ща погляжу как exetools поживает...
Gloomy :: Вообще непонятно что за ботва творится - кому все эти сайты помешали? Ладно еще сайты о кряке - считается это противозаконно, но wasm.ru зачем умертвили вообще не понятно - обычный сайт по низкоуровневому программированию, ничего особенного - просто хороший сайт, много полезных статей. Ну есть там на форуме раздел про кряк так ведь можно же было просто раздел убрать, а не весь сайт полностью прибивать!

Ниче не понимаю :(

MozgC [TSRh] :: У всех свои разборки, кто-то на кого-то нагнал, кто-то из себя возомнил, кто-то над кем-то решил пофутить.. Я так думаю...

Kerghan :: ну wasm и reversing это явно старые разборки, а вот что с ahteam случилось для меня является офигенной непоняткой

MoonShiner :: я давно заметил странности в поведении многих, ранее довольньо стабильно работающих сайтов... Также прикрыли сайты некоторых наших знакомых по этому форуму коллег... У меня есть кое-какие соображения по этому поводу, но вы меня сочтете параноиком, если я их выскажу:) Но согласитесь, все это довольно странно... Лучшие сайты, если на них затронута тематика кряка сыпятся один за другим по весьма диким причинам...

GL#0M :: MoonShiner

Согласен. Я думаю о том же.

Purple :: www.is.svitonline.com/syd
таже проблема? :((

-= ALEX =- :: блин так дело пойдет воще все позакрывают...

FEUERRADER :: Официально сообщаю, ahteam.org временно недоступен по неизвестной причине.
Возможно это DDoS атаки, а возможно неисправности у хостера (в отличие от wasm.ru у нас хостер не петерхост).
В ближайшее время вопрос будет решен.

.::D.e.M.o.N.i.X::. :: Наш сайт не закрыли, а просто хостер пиздой пошел - накрылся. Бабки урод не хочет возвращать мудила...

Tricker :: Добрый день . А кто все-таки может дать ответ , что реально случилось с www.wasm.ru ?

DEMON :: Надо с етим как-то бороться!!!

MsFUCK :: Да... это уже совсем не весело... так вот и останутся одни микросоФФФты если и их MYDOOM’z не прикроют...




Python


Python_Max Неважно чем запакована/запротекчена программа! Сдесь будет описан способ патча, который не требует распаковки «исследуемой» программы.
Основная мысль: Подождем пока пакер/протектор сам это сделает!
Основывается на Memory Patcher by -= Alex =- .
Надеюсь автор оригинала оставит сдесь свое мнение ;)

Python_Max :: Как все было.
Моя проблема подробно описана в теме «О patcher’e -=Alexa=-».
В двух словах: Необходимо снять наг. Прога защищена ASProtect’ом, нашел, где забить два NOP’а, чтобы решить проблему, нашел OEP, нашел jmp ‹OEP›, но изменить его на свой jump, как оказалось, невозможно. Тогда решил попробовать Memory Patcher by -= Alex =-, но с помощью него не успевались байты заменяться и наг все-равно появлялся, если записать их сразу после распаковки - Protection Error 15 :(

Решение.
Несмотря на то, что ASProtect - сила, а я, мягко говоря, начинающий (может у меня мало опыта и я ни разу не дотрассировал до конца код аспра, но мозги, слава Богу, работают :) ), вобщем я не остановился! Как оказалось ненапрасно.
Решил очередной раз посмотреть что делает программа сразу после распаковки.
Трассирование начал с OEP. Дошел до места:
mov [0074C4DC],EAX
и задумался... Посмотрел, что в EAX - там наш ImageBase 0040000, а что у нас по адресу 0074C4DC до комманды MOV? Нули! Хе-хе... Вот оно! Т.е. после этого мува у нас по вполне определенному, а главное _постоянному_ адресу [0074C4DE] находится 40h !!!

Вобщем в код мемори патчера добавил еще один ReadProcessMemory и все!
Вот кусок кода (мои комменты в квадратных скобках, комменты автора оставил):

[===============================]
while true do
// Читаем один байт [тот, который нужно изменить, не знаю почему именно этот :) ]
if readprocessmemory(lppi.hProcess,pointer($73F5EC),@ buf[0],1,i)
then
if buf[0]‹›$0 then // Проверяем на распакованность, если не 0 - то распаковалась

// [ Теперь то, о чем я говорил ]
// [ По сути, это проверка на то, закончил ли работу ASProtect ]

if readprocessmemory(lppi.hProcess,pointer($74C4DE),@ buf[0],1,i)
then if buf[0]‹›$0 then
begin
// [Это уже не нужно]
// Подождем, пока ASProtect проверит память,
// иначе будет писать ’Protection Error 15’
// sleep(300);
// [То, что вверху уже не нужно!!!]
//остановили процесс
suspendthread(lppi.hThread);
//записали что хотели
writeprocessmemory(lppi.hProcess,pointer($73F5EC), @buf[1],1,i);
writeprocessmemory(lppi.hProcess,pointer($73F5ED), @buf[1],1,i);
//поехали дальше!
resumethread(lppi.hThread);
closehandle(lppi.hprocess);
// Сами закрываемся
halt;
end;
[===============================]

Я думаю, что если сделать так, как я написал, то будет САБЖ !!!
Скажите плиз, что думаете по этому поводу.

Да, чуть не забыл, если кто такое уже делал, то почему не отозвались?

ЗЫ: убрав наг, я убрал триал, сам того не ожидав :)))
Thx 2 -= Alex =- 4 Memory Patcher :)

MozgC [TSRh] :: Блин это же убого... лоадеры... Я бы лучше не релизил программу чем релизить лоадер. Хотя не думаю что есть вариант что нельзя сделать cracked.exe, но можно лоадер. Всегда лучше распаковать, чем делать лоадер.

Python_Max :: Я ее релизить не собираюсь.

А cracked.exe распакованный ты бы выложил?

MozgC [TSRh] :: А я все время выкладываю =) И не только я. А лоадеры вообще многие за релиз не считают.

-= ALEX =- :: ну а теперь начнем по теме. вот этот адресок $74C4DE это чисто для тебя только такой. почему - попытаюсь объяснить. как я уже и говорил - многослойная паковка. чтобы что-то куда-то распаковать надо выделяется память. (VirtualAlloc) причем адрес указывающий на выделенную память может быть разным, а на других осях и вовсе другой. код же распаковщиков, или назовем его «тело аспра» оффсетнонезависим (о как назвал), поэтому ему по барабану какой будет адресок.... поэтому можешь радоваться что на твоем компе ну или даже пускай на такой же ОСи работает такой лоадер. Ну а если хочешь сделать лоадер для аспра, который будет точно на OEP останавливаться, придется пару деньков, а может даже и больше просидеть в отладчике и полностью проходить все этапы распаковки проги... можешь взглянуть как это делает asprdebuger (про который все тут речь ведут) благо исходники есть.... наверное после просмотра у тебя желание пропадет. в общем смотри, дело твое. А вообще если сделать такой кряк, т.е. лоадер для себя или для друга - это хорошо. Но если уж захотел релизить, то увы - лоадеры не в моде :(
P.S. статью эту я написал тогда, когда только-только начал учиться этому искусству... тогда я даже и не представлял, что ваще такое АСПР... просто я заметил, что не всегда выскакивает месага, если подряд лупить по файлу быстро... из этого сделал вывод, что нужно время на проверку... поэтому и ставил sleep. кстати, беспонтовый способ и зависит от проца.




Telex Это тест или уже полноценная работа сайта? :) Это тест или уже...


Telex Это тест или уже полноценная работа сайта? :) Это тест или уже полноценная работа сайта? :)
MC707 :: Походу уже полноценная.

С возращением, кряклаб.

MoonShiner :: Уга, товагищи!!!!

mnalex :: Интересно, а отсюда непопрут?
Или другими словами, от туда что выставили?
А вообще интересно, что за перемещения...





vovka Тоже самое... Я тут уже писал одно сообщение, на тему «Easy 3D Creator...


vovka Тоже самое... Я тут уже писал одно сообщение, на тему «Easy 3D Creator 3.0 & striper»(XoraX хотел мне помочь, но я там сам завтыкал-ссылку не дал, XoraX если не трудно посмотри http://www.dzsoft.com/). Вопрос другой но суть таже.... Распаковываю bitzipper 3.4.1 http://www.bitberry.com. Дамп снял через esp-4, импорт восстановил... но...
Прога падает, пробыл трейсить через loader32.exe.... Хер.... Может кто ковырял, подскажите.
OEP=401C00
MC707 :: Помоему 7 метров всем накладно качать будет. И к тому же совсем не понятно что ты хочешь... и при чем тут bitzipper?




ANXIETY КАК ОПРЕДЕЛИТЬ КАКИЕ ПАРАМЕТРЫ ВОЗРАЩАЕТ ФУНКЦИЯ См. в теме


ANXIETY КАК ОПРЕДЕЛИТЬ КАКИЕ ПАРАМЕТРЫ ВОЗРАЩАЕТ ФУНКЦИЯ См. в теме
ANXIETY :: допустим есть прога
и я там нашел какой-то кусок кода
мне нада так шоб узнать какие параметры у функции

КАК ЭТО СДЕЛАТЬ ПОМОГИТЕ!!!!

ANXIETY :: А если точнее то я занялся IZOTOPE TRASH

В иде там можно найти появление демо наг скрина

и вот если патчить джампы то эррор

нада так шоб все еах и тд регистры сохранить как!

кто знает,

Gloomy :: Сохранение регистров:

pusha ; сохранить значения регистров в стеке
;........
;........ ‹- тут твой код
;........
popa ; восстановление значения регистров

ANXIETY :: А можно так шоб все регистры сохранялись в какой-то файл?

Дописать как-нить кусочек кода на асм ?

поставить там калл,

или вообще может есть другой способ?

Спасибо!

Gloomy :: ANXIETY
›› А можно так шоб все регистры сохранялись в какой-то файл?
Можно, почитай статью про встраивание своего кода в программу и напиши примерно так:

pusha

push esi
push edi
push edx
push ecx
push ebx
push eax
push <адрес> ; адрес строки вида "eax:%u, ebx: %u, ecx: %u, edx: %u, edi: %u, esi: %u"
push <адрес> ; адрес в секции данных, выполняет роль буфера. Если нет места в секции данных выделяй себе память функциями GlobalAlloc\GlobalLock
call <адрес> ; адрес функции wsprintf

push 0
push 80
push 4
push 0
push 1
push 0
push <адрес> ; адрес строки с именем файла
call <адрес> ; адрес функции CreateFile
inc
test eax,eax
jz <адрес> ; если не удалось открыть файл выходим
dec eax
mov edx,eax

push <адрес> ; адрес буфера в памяти
call <адрес> ; адрес функции lstrlen

push 0
push <адрес> ; любой адрес из секции данных
push eax
push <адрес> ; адрес буфера в памяти
push edx
call <адрес> ; адрес функции WriteFile

push edx
call <адрес> ; адрес функции CloseHandle

; <- сюда прыгаем если неудалось создать файл
popa

Если в импорте программы нет некоторых из этих функций то придется грузить их напрямую из динамических библиотек с помощью вызова функции GetProcAddress.

Вообще не очень понятно зачем такие заморочки да еще и сохранение регистров в файле - свой код в программу вставляют только тогда когда наступает полная Например если никаким другим способом программа не ломается и по какой-то причине нет возможности использовать in-line patch.




Viktor Пароль для архива winzip Подскажите пожалуйста кто сможет взломать...


Viktor Пароль для архива winzip Подскажите пожалуйста кто сможет взломать пароль в архиве, только не программами, которые везде лежат по подбору паролей, архив запаролен серьезно???
Viktor :: Viktor пишет:
цитата:
архив


http://rostof.narod.ru/SPR.zip

odIsZaPc :: Ну вот... Еще один. Ну вообще-то известно, что в ВинЗипе есть косяк, благодаря которому пароль подбирается за несколько часов, но мне о нем ничего не известно....




kaid Привет, форум! Привет, форум!


kaid Привет, форум! Привет, форум!
dMNt :: yaho0o0o!
форум ожил!

PalR :: Ну наконец-то

odIsZaPc :: Теперь он на http://fastbb.ru хостится...

MC707 :: odIsZaPc
С твоей помощью?

odIsZaPc :: MC707
Нееее-а... :) Это же не мой сервак.... Я пока работаю над будущим cracklab.ru. Как выяснилось, это совсем не просто... Но думаю все срастется...




Gloomy Программа уходит из-под контроля отладчика Заинтересовался программой...


Gloomy Программа уходит из-под контроля отладчика Заинтересовался программой FlaX (662 Кб). Возникла интересная задачка: при запуске программы в OllyDbg отладчик считает что программа прибита, хотя она на самом деле продолжает работать. Как она умудряется вырваться из-под контроля отладчика? Такого я еще не видел
MoonShiner :: А че происходит в айсе? Есть ли процесс в списке задач? Видится ли каким нить LordPE?

Dragon :: Может быть она DLL подгружает какие-нибудь, и там что-то такое происходит.

Gloomy :: Проверил на наличие функции IsDebuggerPresent - ее нет.

MoonShiner
В Айсе ситуация аналогичная - он тоже считает что процесс прибит и проваливается в дебри ntdll.dll

Dragon
Никаких DLL нет вообще - один только запуской файл.

MC707 :: Ты вот на это обрати внимание:
00418788 ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418789 ¦. 8D05 586C4400____LEA EAX,DWORD PTR DS:[446C58]
0041878F ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418790 ¦. 8B45 08__________MOV EAX,[ARG.1]
00418793 ¦. AB_______________STOS DWORD PTR ES:[EDI]
00418794 ¦. 8D05 0C114400____LEA EAX,DWORD PTR DS:[‹& KERNEL32.GetProcAddress ›]
0041879A ¦. AB_______________STOS DWORD PTR ES:[EDI]

и еще:
004187BC ¦› A1 489F4500______/MOV EAX,DWORD PTR DS:[459F48]
004187C1 ¦. 83F8 00__________¦CMP EAX,0
004187C4 ¦. 74 53____________¦JE SHORT FLAX.00418819
004187C6 ¦. 33D2____________¦XOR EDX,EDX
004187C8 ¦. 8A10____________¦MOV DL,BYTE PTR DS:[EAX]
004187CA ¦. FF05 489F4500____¦INC DWORD PTR DS:[459F48] ; FLAX.00448D68
004187D0 ¦. 6BD2 05_________¦IMUL EDX,EDX,5
004187D3 ¦. A1 309D4500_____¦MOV EAX,DWORD PTR DS:[459D30]
004187D8 ¦. 03D0____________¦ADD EDX,EAX
004187DA ¦. 33C0____________¦XOR EAX,EAX
004187DC ¦. 8A42 04__________¦MOV AL,BYTE PTR DS:[EDX+4]
004187DF ¦. 2245 05__________¦AND AL,BYTE PTR SS:[EBP+5]
004187E2 ¦. C645 05 FF________¦MOV BYTE PTR SS:[EBP+5],0FF
004187E6 ¦. 50_______________¦PUSH EAX
004187E7 ¦. 52_______________¦PUSH EDX
004187E8 ¦. 50_______________¦PUSH EAX ; /Arg1
004187E9 ¦. E8 42000000______¦CALL FLAX.00418830 ; \FLAX.00418830
004187EE ¦. 83C4 04__________¦ADD ESP,4
004187F1 ¦. A1 489F4500______¦MOV EAX,DWORD PTR DS:[459F48]
004187F6 ¦. 8945 00__________¦MOV DWORD PTR SS:[EBP],EAX
004187F9 ¦. A1 548D4400______¦MOV EAX,DWORD PTR DS:[448D54]
004187FE ¦. 8B0D 189D4500____¦MOV ECX,DWORD PTR DS:[459D18]
00418804 ¦. 5A_______________¦POP EDX
00418805 ¦. FF12_____________¦CALL DWORD PTR DS:[EDX]
00418807 ¦. 8B45 00__________¦MOV EAX,DWORD PTR SS:[EBP] ; ¦
0041880A ¦. A3 489F4500______¦MOV DWORD PTR DS:[459F48],EAX ; ¦
0041880F ¦. E8 EB030000______¦CALL FLAX.00418BFF ; \FLAX.00418BFF
00418814 ¦. 83C4 04__________¦ADD ESP,4
00418817 ¦.^EB A3____________\JMP SHORT FLAX.004187BC

аффигенно длинный цикл
При выходе из него (4187C4) - пускается другой процесс. Какой - не разбирался...

Gloomy :: MC707
Спасибо за подсказку, копаю дальше:
004187BC EB 5B JMP SHORT FlaX.00418819 ; теперь программа не закрывается в отладчике и ее можно спокойно ковырять.
Есть проблема - нашел место где выдается сообщение о неправильном серийнике:
00427F94 /. 55 PUSH EBP
Но там невозможно поставить бряк потому что это место в коде вызывается при вводе серийника. Пробовал ставить бряки на GetFocus и SetWindowsHookExA - они не работают. Как можно обойти такую систему ввода серийника?

MC707 :: Gloomy
В общем я пошел по другому пути.
В хекс редакторе изучил содержимое ехе. Он всегда в любой проге может много чего интересного дать ...
Нашел строки Flex Key, Key, flex.ini.
Нашел файл flex.ini - в папке windows
Поставил бряки на эти строки. Запускаем - прерываемся по адресу 42932F и видим, что прога считывает из ini строку
Key=...
Добавляем Key=666666
Итого попадаем в 43BA10 и видим как там вычисляется правильность/неправильность серийника. Я не вдавался в подробности как, но там все видно. И там еще дохрена проверок. Как минимум я 6 насчитал.

Ara :: А кто видел такое - место сравнения найдено, если EAX=0 (верный RegCod), то прога работает хорошо. Если в отладчике обнулить ЕАХ, то тоже все хорошо. Но если подпатчить немного, то программа вылетает в аут. Проверки на CRC нет !!!

Ara :: Да, еще, никаких пакеров-протекторов нет, есть VIsual C++ 7.0

Gloomy :: MC707
›› Итого попадаем в 43BA10 и видим как там вычисляется правильность/неправильность серийника
Прошел весь код от чтения строки из ini-файла до открытия окна программы - вычислить серийник не удалось Возможно дело в том что я отключил создание нового потока который обламывает отладчик (сообщает ему что программа закрылась)? Как ты проходил этот код? Так же прибив создание нового потока?

Ara
›› А кто видел такое - место сравнения найдено
Я такое видел когда ломал Promt XT. Добить его до конца так не смог - пришлось написать загрузчик. Попробуй DZA Patcher - она умеет создавать in-line патчи

Ara :: Gloomy пишет:
цитата:
Попробуй DZA Patcher - она умеет создавать in-line патчи


DZA вообщето у мяня что-то хреновато работает, правильно патчит только несколько байт, остальные что-то портит, я не разбирался. Попробую для интереса лоадер, потом напишу результат.

Ara :: Gloomy
Лоадер тоже не катит

Gloomy :: Ara
›› Лоадер тоже не катит
Тогда ищи как программа защищает память от чтения - см. справку по фукнциям VirtualProtect\VirtualProtectEx. А почему DZA не работает? Ты уверен что правильно задаешь все адреса и байты?

Ara :: Gloomy
Да говорю же, не разбирался, почему DZA не работает! Вернее, он работает, если нужно патчить 1-2 байта, а если больше, то облом. А может я где и ошибся, просто после я сделал свой крек на ВР и им пользовался. Сейчас все пытаюсь на Delphi сделать (без VCL), да что-то пока никак руки не дойдут.




3ton Насчет StarForce Мне интересно, StarForce действительно настолько крут...


3ton Насчет StarForce Мне интересно, StarForce действительно настолько крут или креки не выкладываются из этических соображений? А то везде только статьи как завиртуалить диски с ним, а про его снятие почти нету. Подскажите какие нить статьи по его внутреней работе.
specz :: ASMax писал стаью как его снимать, он показал это на 2 играх: Казаки и Venom.

Dragon :: Да, это был StarForce 1.0 и 1.xx, в третьим не сравнить, особенно которым базы данных защищены. Поэтому лучше виртуалить.

Ромка :: Да третий лучше виртуалить, Dead to Rights значит сломали, а оказалось мультиязыковую версию сломали нормально только в английском языке, в остальных языках фигуры не проделывают заданных действий, из за чего застреваешь в игре. Распакованные ресурсы и екзешник заняли целую цд. Немецкая версия X2 защищённая также была взломана, но через неделю выложили другой кряк, так как там оказалось не убрали дополнительную проверку. Вообще большой респект западным хакерам, на наших уже не надеюсь.




Yraevtys Restore Data Прога вроде распаковалась, создался рабочий Dumped


Yraevtys Restore Data Прога вроде распаковалась, создался рабочий Dumped_.EXE , но Restorator не показывает рессурсы и в W98 этот Dump_.exe не запускаетсяю. Как отличить демо от рабочей , но ограниченной версии?




сон Голосование: где мне найти soft ice под хр?


сон Голосование: где мне найти soft ice под хр? ­Dragon'­где мне найти soft ice под хр?'1
­где мне найти soft ice под хр? ­
Mario555 :: А за чё голосовать-то ?

odIsZaPc :: Mario555
За президента голосовать...




Сергей КОМПАС-ГРАФИК V6 Куплю лекарство! Хочеться не дорого!


Сергей КОМПАС-ГРАФИК V6 Куплю лекарство! Хочеться не дорого!
КОМПАС-ГРАФИК V6, Компас-электрик.
Подскажите где взять эти дистрибутивы.
Пишите на мыло teplolux@zmail.ru
Сергей.

PalR :: Я дико извиняюсь, но этих кряков в сети как собак нерезанных. Поищи на форумах соответствующей направленности.
Z.B.
http://forum.ru-board.com/forums.cgi?forum=35




D@rK срочно нужны inno-setup и SVKP декомпиляторы! Может кто знает где такое...


D@rK срочно нужны inno-setup и SVKP декомпиляторы! Может кто знает где такое раздобыть??
или может знаете ручной метод распаковки??




TankMan Может кто-нибудь написать туториал взлома WarCraft3 FT? Пробовал я...


TankMan Может кто-нибудь написать туториал взлома WarCraft3 FT? Пробовал я взломать WarCraft3 FT 1.14 - как ни старался - не получилось ничего :( - как просил диск так и просит... я но-сд то нашел, но просто интересно, каким именно образом он защищен, и как можно обойти? Может кто уже ломал и поможет мне написанием мАААаленького туториалчика?
dmitrys :: Отучаем WarCraft 3 (1.01b) от SecuROM

Инструменты : SoftICE, ProcDump, бумага, Win32DAsm
+!!!оригинальный!!! CD с игрой.

SecuROM считывает нечитабельные(другими прогами) сектора
сд-диска. Сравнивает эту инфу со своей и если все сходится
то далее exe’шник дешифруется и идет прыжок на OEP.
И так начнем...
Ставим в СофтАЙСЕ бряк на GetDriveTypeA (bpx GetDriveTypeA).
КОгда выскочит САЙС жмем F12 и записываем EIP. Потом просто
выходим из САЙСА. Затем загружаем в Win32DAsm war3.exe и
идем на тот адрес который вы записали :00465A31 и поднимаемся
пока не увидим такое место :

-------cut here-------

:00463549 CC int 03
:0046354A CC int 03
:0046354B CC int 03
:0046354C CC int 03
:0046354D CC int 03
:0046354E CC int 03
:0046354F CC int 03
:00463550 55 push ebp
:00463551 8BEC mov ebp, esp
:00463553 56 push esi
:00463554 6A01 push 00000001
:00463556 6A00 push 00000000
:00463558 6A00 push 00000000
:0046355A A190B44900 mov eax, dword ptr [0049B490]
:0046355F 50 push eax
:00463560 FF1554D84900 call dword ptr [0049D854]

-------cut here-------

Снова запускаем игру, только из SILoader’a. Ставим брак на
:00463550 - это начало всей прцедуры чтения секторов CD.
Когда стопнется САЙС смотрим что у нас в ESP (d esp). А в
ESP должен быть адрес места гуда нужно вернуться после
этой процедуры (т.е. если вместо push ebp написать ret
то мы должны вернуться именно на этот адрес). А адрес у
нас оказался :00461692. Если посмотреть на это место в
ВинДАсм’е, то мы увидим всякую фигню, значит SecuROM
дешифрует это место во время выполнения. Нам нужно сдампить
exe’шник тогда когда этот кусок памяти будет дешифрован.
Опять ставим бряк на GetDriveTypeA. Когда стопнемся жмем
F12 и оказываемся в exe’шнике. Меняем cmp eax,05 на
jmp EIP (команды : a, jmp EIP). Выходим из САЙСА и запускаем
ProcDump. Сдампим весь exe’шник и убъем процесс. Загружаем
в ВинДасм сдампеный exe’шник. Идем на :00461692 и если там
нормальный код, то вы все сделали правильно...
Предыдущий call - это как раз вызов той процедуры. Если вы
туда зайдете то не пугайтесь, что там совсем другой код.
Просто SecuROM использует одно и тоже место в памяти для
разных процедур. Смотрим далеко вниз и видим такое :

-------cut here-------

:00461876 FF1590A94900 call dword ptr [0049A990]
:0046187C C70558A4490000000000 mov dword ptr [0049A458], 00000000

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
¦:00461864(C), :0046186D(C)
¦
:00461886 B816124000 mov eax, 00401216
:0046188B 90 nop
:0046188C 90 nop
:0046188D 50 push eax
:0046188E EB03 jmp 00461893

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:00461A35(U)
¦
:00461890 58 pop eax
:00461891 FFE0 jmp eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:0046188E(U)
¦
:00461893 A340C64900 mov dword ptr [0049C640], eax
:00461898 E8F3C0FFFF call 0045D990
:0046189D C7055CAA490000000000 mov dword ptr [0049AA5C], 00000000

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
¦:004619B5(U)
¦
:004618A7 8B155CAA4900 mov edx, dword ptr [0049AA5C]
:004618AD 6BD20A imul edx, 0000000A

-------cut here-------

По адресу :00461886 видим что в EAX кладется какое-то число
(странно!!!). Ставим в САЙСЕ бряк на :00461886. Когда стопнемся
проходим все до :00461A35. Дело в том что далее идут циклы
дешифровки... Дойдя до :00461A35 видим прыжок на :00461890.
Смело прыгаем и оказывается мы вернулись почти туда же где
стопнулись. Тут восстанавливается EAX (pop eax) и прыгаем на
адрес который в EAX. А в EAX оказывается то число, которое до
этого мы видели (mov eax, 00401216). Значит?... это и есть OEP.
OK..самое трудное мы сделали. Теперь запишем свеженайденый OEP
на бумажку. Теперь осталось сделать нормальный дамп. Ставим
в САЙСЕ бряк на :00461891 и когда стопнемся меняем jmp eax
на jmp EIP. Выходим из САЙСА и дампим exe’шник ПрокДамп’ом.
Не забудте убить процесс. Меняем EP на OEP всеми доступными
средствами. Иногда еще придется восстановить Импорт(Import
table) это можно сделать Import ReConstructor’ом, когда игра
будет запущена, только в поле EP нужно ввести OEP.
Вот и все не такая уж и крутая защита...
Также ломается и WorldEditor.(пусть это будет вышим домашним
заданием)

Ну и как всегда, этот тутор только для образовательных целей.
Здесь ничего не ломается, а описывается защита. Даже не думайте
что-то ломать ;-). За все последствия Автор(т.е. Я) ответственности
НЕ НЕСЕТ!

Все вопросы в мыло...

writer : EGOiST[TSRh]
cracker : EGOiST[TSRh]
web : http://www.ego1st.cjb.net/
: http://kickme.to/tsrh
e-mail : egoist_tsrh@rbcmail.ru
: tsrh@mail.ru

Взято с сайта http://cd-check.tk/

Cigan :: Полный Бред!!! Он ламал пиратку!!! А на лицензии Securom!!! И много гемороя!!!

TankMan :: И что и только 1.01? Не учто ни кто сдесь не ломал Warcraft3 FT 1.14? Может защита слишком сложная, и поэтому ни кто не хочет тратить времени на бедного смертного, чтобы объяснить в чем загвоздка? или как?

-= ALEX =- :: просто прошел уже тот период когда все в нее рубились и искали пути решения траблы с диском...

GL#0M :: TankMan

Во-первых не у всех она есть... мало кто играет на этом форуме... ИМХО
Во-вторых ничего там сложного нет, защиту можно снять по любому из туторов в сети...

Cigan
Никакая это не пиратка, а оригинал. Сам снимал с оригинала, всё также. По Securom дохера инфы, вам просто в гугле лень поискать!!!

Mario555 :: GL#0M пишет:
цитата:
По Securom дохера инфы, вам просто в гугле лень поискать!!!


Ыгы... Всё на буржуйском и старое...

odIsZaPc :: Mario555
Ну дык буржуйский учи!

Cigan :: GL#0M
Ты не прав!!! Dr.Golova мне еще на wasm ответил так что извени!!! :))) А если ты говоришь что все очень просто то снеми 1.14 по туториалу!!! И потом ссылку подкинь на етот туториал, если не влама будет !!! Или сам напишы тутор !!!! :)))

RideX :: Cigan пишет:
цитата:
Dr.Golova мне еще на wasm ответил так что извени!!! :)))


SecuROM снять не ХХХХХ распаковать и одним ImpRec’ом (Mangled import и т.д.) тут ничего не сделаешь, надо DLL свою писать, импорт раскручивать, и т.д. и т.п. в том же духе. Ведь так ответил, а ты тут прикалываешься :)))

TankMan :: Все ясно, значит, не судьба? Но ведь кто-то же снял этот SecuROM, не учто.... ай ну ладно, раз времени нет, то нет...




nix программы CTM Люди помогите...ктонить ломал программы CTM фирмы...


nix программы CTM Люди помогите...ктонить ломал программы CTM фирмы www.ctm.ru точнее Rail-Тариф если да то поделитесь секретами или ченить подскажите...пишите на мыло klan_2030@mail.ru
EGOiST[TSRh] :: смотрел я както ети проги.. там крипто сплошное.. так руки и не дошли :P

.::D.e.M.o.N.i.X::. :: EGOiST[TSRh] пишет:
цитата:
смотрел я както ети проги.. там крипто сплошное.. так руки и не дошли


Плохо смотрел...

EGOiST[TSRh] :: оказалось действительно плохо смотрел.. или не то совсем было
или поменяли че..

MozgC [TSRh] :: nix
CTM Custstor 1.81 (Tamogenniy Sklad) - 23.02.2004 - Cracked - B-$hep
Тебе это надо было ?




KLAUS McAfee Всем привет!!


KLAUS McAfee Всем привет!!
НАрод может кто-нить знает как профиксить прогу так, чтобы McAfee( ИМЕННО ЭТОТ АНТИВИРЬ), не орал на неё???
MozgC [TSRh] :: Возможно у тебя код в последней секции и EP указывает на этот код в последней секции. Если так то попробуй просто создать еще одну пустую секцию и все. Против DRWeb’а это вроде прокатывает.

KLAUS :: Встваляй, но ничего..до такой степени над файлом поизвращался, что он ток на моей системе стал запускать, но даже это не помогло!!
Я в основном меняю точки входа, и по мере возможености фиксю сам код (AVP, DrWeb, Stop,
NOD), они молчат..но McAffe орёт.....
Может кто-нить знает, откуда он хоть начинает свою проверку??




Snik Проблемка с softice Установил si все работает как и положено.


Snik Проблемка с softice Установил si все работает как и положено.
Захотел подключить мой любимый mfc42.dll, а то mfc -шные функции ice не узнает.
После того, как в в softice config я указываю эту dll в exports после нажатия ctrl+d происходит как-бы вызов невидимой softice (на экране все блокируется, мыша замирает), повторное нажатие продолжает жизнь. Причем после того, как я из конфига убираю загрузку этой длл ничего не изменяется (в т.ч. после перезагр.), приходится переустанавливать softice.

Когда я подключил эту длл через «SoftIce symbol loader», то он попросил указать кучу *.h файлов из исходников mfc, после этого mfc -шные функции softice стала узнавать, но, как я понимаю «SoftIce symbol loader» для одноразовой загрузки символов ?

И зачем нужна прога «Symbol retriever» ?

WinXP engl SP1, SoftIce извлеченный из Numega Driver Siute v2.7 build 562 для Windows NT/2000/XP.

Snik :: Оказалось, mfc не виноват.

Установил si, перегрузился - работает, после следующей перезагрузки - уже нет. Разбираюсь...

AnteC :: Скачай ftp://node.ionb.ru/pub/fi...cho/tskwinnt/si405wnt.rar
и http://cracktools.palm-uae.com/files/patchxp.zip
у меня были такие же траблы этим вылечился :)

Snik :: с ХР решил проблему скачав si с http://reversing.kulichki.net/sinstall.exe

Теперь другая проблема. В свойствах айса в экспорте приписаны mfc42.dll и msvcrt.dll. Какого айс не узнает mfc - шные функции ?

bpx afxmessagebox
Sybmol not defined (afxmessagebox)

MozgC [TSRh] :: В общем во первых в mfc42.dll функции экспортируются по ординалам, и во вторых там не все функции экспортируются.
Короче по именам нельзя бряки ставить.




Mario555 Reget Regetdx 4.0 beta


Mario555 Reget Regetdx 4.0 beta
После распаковки, при закачке exe, вместо этого exe создаётся «хреновина», такого же размера, как и скачиваемый файл, которая при запуске выдаёт месагу «This file downloaded with cracked version of ReGet Deluxe».
Как отловить момент, где reget портит/подменяет файл (ведь должны же в regetdx.exe быть куски создаваемой «хреновины») ?
Dragon :: Выдержка с сайта Reget:

Мы рекомендуем НИ В КОЕМ СЛУЧАЕ не загружать ЛЮБУЮ версию ReGet с пиратских сайтов. Наши пользователи недавно сообщили, что некоторые хакеры пытались распространять под видом взломанного/зарегистрированного ReGet, а также под видом ReGet 4.0 BETA «троянских коней» (программы, маскирующиеся под полезные утилиты и делающие пакости типа пересылки ваших паролей в Интернет, стирания полезной информации и т.д.). Такие «троянские кони» могут уничтожить данные на вашем компьютере или открыть ваш компьютер для атак. Мы настоятельно рекомендуем загружать ReGet только с нашего сайта или сайта CNet.

Последняя версия его 3.3.188. Так что твой пароль уже куда-нибудь отослали...

Andrey ::
цитата:
Как отловить момент, где reget портит/подменяет файл (ведь должны же в regetdx.exe быть куски создаваемой «хреновины») ?


Поверь, это не единственный глюк с которым ты столкнешься. Будет еще куча других приколов.

цитата:
Последняя версия его 3.3.188
цитата:

4.0 - это Beta, доступная для скачивания

ps.
Ведь он всего 280р. стоит - не проще купить, если сам юзаешь :-\

Mario555 :: Dragon пишет:
цитата:
Последняя версия его 3.3.188


Дык я с офф. паги эту 4.0 скачал.

Andrey пишет:
цитата:
это не единственный глюк с которым ты столкнешься


Других пока не видел... В чём они состоят ?




FEUERRADER Quick Unpack v0.2 Моя новая тулза. Может кому пригодится.


FEUERRADER Quick Unpack v0.2 Моя новая тулза. Может кому пригодится.
Программа предназначена для быстрой (за пару секунд) распаковки простых пакеров (UPX, ASPack, PE Diminisher, PECompact, PE-PACK и др). Отличается малым размером исполняемой программы и быстротой работы.
Заточена под NT, не восстанавливает импорт под 9х....

Тулза лежит на форуме: http://www.exetools.com/f...read.php?s=&threadid=3478
Кто может выложите еще где-нибудь для народа, кто не зарегистрирован на exetools.

Также можете высказывать мысли по поводу анпакера.

p.s. «This is my first Unpacker, so stop laughing :)» (c) Y0da
Runtime_err0r :: Переложил
_http://www.zone.ee/Runtime_err0r/qunpack_v02.zip

MozgC [TSRh] :: Ну я проверил на UPX, ASPack, PE Compact, ExeStealth - везде сработало, вроде неплохо так все. В общем думаю новичкам понравится, тем более трудно найти распаковщики для PE Compact и eXeStealth, хоть они и очень легкие в плане распаковки.
Только ты бы там написал, что мол автор советует учиться распаковывать вручную =) Прикольно было бы =)

-= ALEX =- :: а я вот что-то попробывал распаковать тот же UPX, просто прога запускается и все....




terikk Хелп кто-нибудь Кряк Продажа Транспортных средств Люди помогите с...


terikk Хелп кто-нибудь Кряк Продажа Транспортных средств Люди помогите с прогой Продажа Транспортных средств, чем кто может...
terikk@mail.ru
aka :: А прямую ссылку на прогу может дашь? Тут не экстрасенсы сидят

infern0 :: spravka.cars.sale.3.3.4.keygen-tsrh.zip




nice С праздником! Поздравляю всех с 23 февраля!


nice С праздником! Поздравляю всех с 23 февраля!
Желаю удачи и суперского реверсинга!

Удачи всем!

-= ALEX =- :: спасибо ;)

Kerghan :: блин, опять опять меня опередили, всех с праздником, а конкретно в аське поздравлю

MC707 :: Спасибо. И вас по тому же месту!
Кроме суперского реверсинга - еще и мозгов побольше. Особенно себе этого желаю )))




KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на...


KLAUS Нахождение OEP Народ подскажите как прогрммно найтит и изменить OEP на asm или Delphi??
MoonShiner :: Читай инфу по PE-заголовку.

KLAUS Re: MoonShiner :: А конечно понимаю, что проще всего дать мутный ответ, чем дать конкретный и тем самым помощь человеку.
Ну а точнее можно!

MozgC [TSRh] :: Мде, ленится народ...

KLAUS :: Народ спрашивает у знающих людей, когда сам не смог найти ответ на свой вопрос!

MoonShiner :: KLAUS пишет:
цитата:
Ну а точнее можно!


Находишь PE-заголовок (например, сигнатурку PE для начала), отсчитываешь от ее начала 28 десятичное, и двойное слово, лежащее по получившемуся адресу и есть EP.

KLAUS :: Угу...Спасибо!!
А получившиеся Dword всегда будет OEP, не зависимо от того, запакован файл или нет...
И как всё таки программно определить тогда PE заголовок (хотя бы примерноо)??

Kerghan :: Bad_guy пишет:

цитата:
Как найти EP место в файле, назовем этот адрес REP. Берем наш экзешник. Читаем по адресу 3Ch dword число - это адрес заголовка PE, прибавляем к этому числу 28h и читаем по получившемуся адресу снова dword (это будет виртуальный адрес EP (VEP) (без imagebase). Кароче надо перебрать атрибуты всех секций (длина заголовка секции - 28h), число секций хранится по адресу заголовка PE+6, надо считать word. Теперь нужен адрес заголовка первой секции: его получаем складывая адрес заголовка PE, константу 18h и word по адресу (адрес заголовка PE+14h). Теперь читаем атрибуты первой секции: нам нужен будет VOffSet(0Ch), VSize(08h), Roffset(14h). В скобках указаны смещения относительно адреса заголовка этой секции, читать каждый раз dword. А потом определяем, физический адрес EP (REP). Если (VEP - VOffset ‹ VSize) and (VEP - VOffset ›= 0) тогда наш REP = VEP - VOffset + Roffset, а если нет, то надо искать REP в следующих секциях.


mnalex :: KLAUS
Слушай а ты часом непутаешь ОЕР и ЕР ? Отличие то знаешь в чем?

DEMON :: KLAUS

Не хочешь париться?? Скачай PE Tools v1.5 Xmas Edition!!!

Bad_guy :: А я кажется понял - Клаусу нужно не EP экзешника, а OEP запакованного экзешника найти. В дампе файла можно искать по сигнатурам - такой будет ответ. Где ты возьмешь дамп и как ты будешь искать - твое дело.

Python_Max :: А какой прогой можно изменить именно OEP запакованного файла?
Чтобы не вручную...
Или нет таких? Вроде в одной из статей проскакивало, что это может ProcDump...

DEMON :: Python_Max пишет:
цитата:
Вроде в одной из статей проскакивало, что это может ProcDump...


Не видел такой статьи, но мне кажеться что ProcDump говно!!!!

-= ALEX =- :: Python_Max я тебе уже ответил насчет OEP в теме -=alex=- patcher

DEMON :: Так че он конкретно хочет???

KLAUS :: Народ смысл такой у проги OEP=****DF92 нужно чтоб стал ****E0AD , но сделать это ПРОГРАММНО ( не HIEW, не ProceDUMP...ни какой либо другой прогой)......я знаю как заменить, но не знаю как определить ПРОГРММНО OEP!!!!

KLAUS :: ПРограммно (.т.е на ASM, Delphi).....ну самый край С++

MozgC [TSRh] :: ПРога упакована ?

KLAUS :: ДА

MozgC [TSRh] :: И разницу между EP и OEP ты понимаешь ?

KLAUS :: Тебе сказать в чём разница? (Понимаю)

Bad_guy :: А чем упакована то ?

KLAUS :: Так в этом то и дело...нужно чтоб автоматом определяло ( не зависимо чем упакованна прога)!!

MozgC [TSRh] :: Никак ты не сделаешь этого, не запуская прогу. А запуская можешь использовать genoep.dll, но ты не сможешь в общем случае изменить OEP.

KLAUS :: Мля, косяк!
Ну а тогда EP как ПРОГРАММНО определить??

Madness :: KLAUS

цитата:
PE Header:
...
28h - DWord Entry point RVA - адрес, относительно Image Base по которому передается управление при запуске программы или адрес инициализации/завершения библиотеки.
...





DOLTON ASPR Stripper - кудаж без него? Привет всем!


DOLTON ASPR Stripper - кудаж без него? Привет всем!
По обидной случайности не успел выкачать с офф сайта ver 2.07 (final) до его закрытия ...
Если вдруг кто оказался в рядах счастливчиков - большая просьба скинуть на dolton2002mail.ru
Заранее всем big thanks!
MozgC [TSRh] :: http://MozgC.com/stripper207.zip
Я не знаю какой это, final или не final но работает нормально.

DEMON :: MozgC [TSRh]
Дzzzякую тебе!!!

Runtime_err0r :: MozgC [TSRh]
Да ты никак доменом 1-го уровня разжился ? ну ты буржуй, однако

P.S. А Солодовников-то не дремлет, упырь

MozgC [TSRh] :: Runtime_err0r
Давно уже разжился =)

.::D.e.M.o.N.i.X::. :: Давно уже 2.11b есть:) Движок переработан и интерфейс другой.

-= ALEX =- :: .::D.e.M.o.N.i.X::. ][в@статься то зачем ?

Gloomy :: stripper просто уникальная программа! Скачал «Complete CD And DVD Writer 1.1» - довольно интересная штука, но оказалась запакована «ASProtect 1.23 RC4 - 1.3.08.24 -› Alexey Solodovnikov». Нисколько не надеясь на успех открыл ее в stripper, ничего не настраивая тупо нажал «unpacking»... и Чудо свершилось! - получил распакованный, полностью рабочий файл! При этом триал в 5 дней исчез как страшный сон
Большой респект автору stripperа!

З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.

-= ALEX =- :: самая новая 1.30 build XXX, могу и ошибаться... а вообще я не втречал прог защищенным этим супермега протектором :)

MozgC [TSRh] :: .::D.e.M.o.N.i.X::. пишет:
цитата:
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.


Он для 1.30, правда у меня не распаковал ни одного аспра 1.30 да и не удивительно, он даже таблицу инита не восстанавливал, интересно как прога должна была работать после такой распаковки, думаю что и еще косяки есть.

Runtime_err0r :: Gloomy

цитата:
З.Ы. А какая версия ASProtect самая новая? Новее чем «1.23 RC4 - 1.3.08.24» я еще не встречал.


То что выдаёт PEiD ещё не является абсолютной истиной кстати, скачай версию 0.92 - там новые сигнатуры добавились.

MozgC [TSRh]

цитата:
.::D.e.M.o.N.i.X::. пишет:
цитата: -------------------------------------------------- ------------------------------
Давно уже 2.11b есть:) Движок переработан и интерфейс другой.
-------------------------------------------------- ------------------------------

Он для 1.30, правда у меня не распаковал ни одного аспра 1.30


А я им кучу прог распаковал он лучше, чем 2.07, т.к. грамотно эмулирует GetTrialDays и ExecuteApplication, поэтому сразу получаем на выходе рабочую прогу и не надо руками ничего эмулировать

цитата:
.::D.e.M.o.N.i.X::. ][в@статься то зачем ?


Точняк !!!

mnalex :: Runtime_err0r
Возможно он грамотнее распаковует 1.23, а ты попробуй 1.3...

mnalex :: Ребята, объясните мне, нафига делаються кряк проги, которые дают только избранным крякерам, т.е. тем кто и без этого спокойно распаковывает?
Для тестирования? Или просто из желания показать, что их уважают, а на остальных нас;%ть? Не, я понимаю, и неспорю, что эти проги делают умные люди, и я их естествено уважаю, но зачем страдать такой фигнёй, я незнаю и не понимаю...

nice :: mnalex
ИМХО всё это денег стоит...

Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe
http://www.apache-gui.com/files/apconf.exe

Andrey :: nice пишет:
цитата:
Да я думаю мало кто здесь может 1_30 руками снять...
Вот примеры программ, запакованных 1_30
http://myproxy.com.ua/myproxy.exe


Какая же это 1.30, это допотопная 1.23, со стареньким импортом

mnalex :: nice пишет:
цитата:
ИМХО всё это денег стоит...


Хорошо, тогда ты хочешь сказать, что те у кого уже есть эта прога - заплатили автору? Фигня... Единственное, это то что если у него (автора) будут проблемы с чем либо - он может быть уверен, что эти люди постараються ему помочь всеми силами...

цитата:
Да я думаю мало кто здесь может 1_30 руками снять...


Интересно, а ты хочеш сказать, что stripper 2.11b есть у многих? Нет, он у этих «мало» и есть...

ИМХО, как я уже говорил - фигня это...

TriD :: Привет чесной компании!
Если у кого есть ASPR Stripper 2.07, намыльте пожалуйста, а то приведенная вначале ссылка не работает

P.S. Извиняйте за беспокойство, сам нашел на одном из тайваньских серверов.

Runtime_err0r :: mnalex , nice , Andrey

Да ладно вам спорить. По-моему syd прав, Солодовников-то тоже не лох, стоит только выложить версию stripper’а публичного доступа, и через неделю его уже можно будет положить в корзину
А так, насколько мне известно, у всех российских кракерских групп он и так есть, так что присоединяйтесь

mnalex :: Runtime_err0r пишет:
цитата:
так что присоединяйтесь


А как это сделать? Лично я непротив, тока кто меня возьмет?

Runtime_err0r :: mnalex

цитата:
Runtime_err0r пишет:
цитата: -------------------------------------------------- ------------------------------
так что присоединяйтесь
-------------------------------------------------- ------------------------------

А как это сделать?


Учиться, учиться и ещё раз учиться ... © Ленин

MozgC [TSRh] :: Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))

T0zik ::
цитата:
Вы че наивно думаете что у Солодовникова нет финальной версии 2.07 и версии 2.11 ? =)))


Скорей всего :) Да и тенденция однако - то что делает стриппер можно сделать вручную, в новом аспре появляются вещи, которые имхо не автоматизировать :( Перенос стрипером точки входа aka OEP эт конечно хорошо, а что он будет делать, если в OEP появятся зависимые от кода аспра фичи, т.е. если код OEP будет зависеть от кода aspr’а :( каюк - придется весь полиморф разбирать :(

mnalex :: Runtime_err0r
Что и делаеться :))

MozgC [TSRh]
Мои мысли высказал - вечно опережаешь, я подумаю - а ты уже скажешь :))




gerkon Есть кряк для Консультант3000 Есть кряк для Консультант3000.


gerkon Есть кряк для Консультант3000 Есть кряк для Консультант3000.
Мыльте на gerkon2004@bk.ru




XPiS Не успел залить... Народ, дайте плз. рабочий линк, а то


XPiS Не успел залить... Народ, дайте плз. рабочий линк, а то
IDA.Pro.Standard.4.5.1.770with.Flare421.and.SDK.ra r не работает.
MozgC [TSRh] :: Ищи тут:
http://reversing.kulichki.net/

XPiS :: только 4.3...отладчика нет.

Mario555 :: to XPiS
фтп exetools - найдется всё .

MoonShiner :: XPiS пишет:
цитата:
только 4.3...отладчика нет.


Отладчик там полное.... как бы это помягче... Короче до айса не дотягивает




Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку...


Purple О patcher’e -=Alexa=- Подскажите что за глюк - в винде выдает ошибку (похоже при CreateProcess)
а DZA патчит на ура...
-= ALEX =- :: это ты наверное про memory patcher, да ?

Purple :: Да именно про статью

Purple :: ошибка при инициализации приложения 0хс0000142. (в заголовке имя проги которая должна быть пропатчена)=›
ошибка в createprocess?

Python_Max :: Сдается мне, что там первые два параметра местами перепутаны

Purple :: да ошибок там хватает но по идее патч должен пропатчить прогу но вместо этого ...

Python_Max :: › Сдается мне, что там первые два параметра местами перепутаны

А в принципе и так, и так запускается, как ни странно...

Вопросик в тему:
Если я описанным в статье способом хочу убрать наг, то как мне остановить выполнение программы после того как она распакуется? Дело в том, что сразу после распаковки вываливается наг, а байтики, которые патчер должен заменить, замениться не успевают. А если заменять сразу, то, как и обещалось в статье, - Protection Error 15 :(

Если это сделать нереально, то как мне найти то место, где происходит jump на OEP после распаковки (ASProtect 1.2 / 1.2c), чтобы его изменить? (pushad нашел с помошью Break&Enter, а вот соответствующий popad нет, слабоват еще - никак не могу дотрассировать :/). Может есть какие-то характерные участки кода соответствующие окончанию распаковки? А там же еще после распаковки проверка на целосность идет...

ЗЫ: ситуация аналогичная (как в статье) - просто забить два NOP’a.

-= ALEX =- :: да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

Python_Max :: Уже нашел! :)
bpm esp-4 (как все просто).

Еще вопрос:
в сайсе:
00E9A08C: jmp EAX

Как мне найти смещение этого кода в файле, чтобы его изменить?
Поиком не ищется, видать нету таких строк до запуска :/

Вот еще прикол: при повторении действий адрес jump’a другой!
00E9A2B9: jmp EAX

Че за прикол??? Как его изменить на свой???

mnalex :: Python_Max
Почитай это:
http://www.alex2kx.nm.ru/aspr123rc4unp.html

Python_Max :: В этой статье я не нашел ответа на свой вопрос, хотя почитать, как всегда, было интересно (недавно начался информационный голод, перечитываю все подряд статьи по реверсингу :) ).

Мне _не_ нужно распаковать прогу, необходимо изменить jmp ‹OEP› на jmp ‹MY_CODE›.
Переход на OEP я уже нашел благодаря «bpm esp-4 -› F5 -› F5», но:
1) у него постоянно разный адрес получается;
2) более того, этот адрес оказывается за пределами файла (т.е. Hiew мне не поможет)!

PS: вот прочитал немало статей по распаковке. Спрашивается: зачем распаковывать?
Вы что потом распакованную версию юзать собрались?
Ну понятно, чтобы дизассемблировать. А если, например, мне не нужно этого делать?

Я нашел, что мне нужно изменить два байта и все было бы круто!
Добавил свой код, который это делает. Осталось заменить переход на OEP переходом на этот код...

С помошью лоадера, как выясняется, наг убрать не удастся.
Изменить jump ‹OEP› мне тоже не судьба...
Может есть еще какие-то варианты?

-= ALEX =- :: Python_Max понял я тебя. расскажу по подробнее. короче аспр - это не простой пакер, помимо крутой защиты, там многослойная паковка, т.е. сначало некий распаковщик распаковывает в выделенное виртуальное пространство, распаковщик №2, потом этот распаковывает распаковщик №3, там происходят всякие проверки, апи аспра, короче образно говоря до фига всего, потом уже идет разборка с импортом и распаковка самой проги. но это все очень замудрено, полиморфные распаковщики, мусор, CRC и т.д.... надеюсь сейчас малость понятно стало.

Purple :: ›да забейти вы на этот memory patcher, мода на лоадеры уже давно прошла :)

что появилась на inline-patch? или на что?

-= ALEX =- :: Purple ты прав, щас мода на патчи ну или на cracked exe :)

Madness :: Python_Max
›Как мне найти смещение этого кода в файле, чтобы его изменить?
В чистом виде в файле его нету, он из запакованной dll.

›при повторении действий адрес jump’a другой!
Ну дык dll ведь.

›Может есть еще какие-то варианты?
Не менять OEP, есть и другие варианты, о которых на этом форуме уже говорилось, напоминать не буду, скажу только что сделать патч для аспра вполне реально (до 1.3 пока не включительно, на 1.3 мне так никто и не дал ссылки).

-= ALEX =-
› щас мода на патчи ну или на cracked exe :)
Точна, лоадеры фигня.

Python_Max :: -= ALEX =-
› надеюсь сейчас малость понятно стало.
Не понял зачем его распаковывать? (Кроме дизассемблирования исходной проги и исследования самого Аспра)

Madness
› есть и другие варианты
Кинь плиз линк на туториал, если таковой есть. Только не на распаковку.

Madness :: Python_Max
›Не понял зачем его распаковывать?
Сам же говоришь, что «кроме ... исследования самого Аспра», а эта запакованная dll и есть сам аспр (нужная нам часть).

›Кинь плиз линк на туториал, если таковой есть.
Тутора нет, есть (или были) обсуждения на этом форуме.

Python_Max :: Madness

Не нашел :(

› есть и другие варианты, о которых на этом форуме уже говорилось, напоминать не буду
Ну хоть назови какие... Буду копать...

Madness :: ›Ну хоть назови какие...
Мне известно пока 2 возможности пропатчить аспр (не лоадер) - изменение адреса апи аспра и хук winapi. Еще какие варианты есть?

Mario555 :: Madness пишет:
цитата:
на 1.3 мне так никто и не дал ссылки


А чем тебе GetPix не понравился ?

-= ALEX =- :: Madness забыл что ли я тебе еще один способ рассказывал ??

Madness :: -= ALEX =-
15 строк одного только описания :)
Как вариант тоже пойдет, согласен, но геморно очень, хотя мож у них тулза есть ;)

Mario555
›А чем тебе GetPix не понравился ?
О, а я думаю чего оно в очереди на скачку стоит, пасиб за напоминание. :)

GL#0M :: Madness

Слушай, вышли пожалуйста свой патч на GetPix, а то у вас на форуме запара просить... Заранее примного благодарен.

Madness :: GetPix - это аспр 1.3 со всеми наворотами?
Патчится аналогично, а вот с инитом/деинитом заниматься пока некогда, мысли есть по восстановлению, да для реализаци времени нет. (я про чистую распаковку, а не цепляние кусков аспра к проге)

GL#0M
Выслал.

-= ALEX =-
Я все жду файлы :)

-= ALEX =- :: Madness какие файлы ???

Madness :: -= ALEX =-
Второй раз напомнить? :-/
Ладно, забей.

Runtime_err0r :: -= ALEX =-

цитата:
Madness какие файлы ???


Блин, ты самый молодой в группе, а уже склероз что дальше-то будет ?

GL#0M :: Madness

Сенкс.

-= ALEX =- :: Runtime_err0r ну блин реально не помню, трудно сказать и напомнить ?

MC707 :: -= ALEX =-
Кстать щас мода уже по моему давно не на патчи с кракед.ехе, а на кейгены

Runtime_err0r :: MC707
А ты ASProtect закейгенил что-ли ???

MC707 :: Runtime_err0r
Не, я не понял. Если есть прога, в которой можно найти код генерации sn, причем не важно, пакована/запротекчена она или нет, причем пакована/запротекчена неважно чем, то почему бы ее не закейгенить?
Или я чего-то не понял?

Andrey ::
цитата:
Патчится аналогично, а вот с инитом/деинитом заниматься пока некогда, мысли есть по восстановлению, да для реализаци времени нет. (я про чистую распаковку, а не цепляние кусков аспра к проге)


Ты сказал хоть можно ли это вручную сделать и если можно то куда копать, а то есть прога, а без правильно инита
не пашет :(

Runtime_err0r :: MC707
Щаз 80% прог запакованы ASPR’ом, причём 95% из них используют для регистрации API ASPR’а потому что использовать для регистрации TRegWareII или TmxProtector, а сверху навешивать ASProtect - это маразм. Я думаю, что ты в курсе

MC707 :: Runtime_err0r
Позволь с тобой несогласиться насчет 80%. Качаю не первый день проги и с даунлоас.ком и симтел.нет и тп. Все новые. Так вот моя статистика такова - около 45-50% - аспр (причем мне попадались даже 1.1), 40% - старый добрый упх, 5% - арма.
А с остальным согласен.
Просто я такой разговор затеял, потому что один раз аспровскую прогу закейгенить умудрился. Не помню правда какую, давно было. Неправильно мысль я свою наверно высказал .

Runtime_err0r :: MC707

цитата:
Просто я такой разговор затеял, потому что один раз аспровскую прогу закейгенить умудрился.


Один раз не ... [считается]

MC707 :: Runtime_err0r
Сам такой

Madness :: Andrey
›Ты сказал хоть можно ли это вручную сделать
Теоретически - да, практически - не пробовал.

-= ALEX =-
Здесь тему уже похоже снесли, напоминание есть на нашем форуме, я спрашивал файл с аспром 1.3 со всеми фишками + 2 файла минимального размера без всех фишек, но 1 с аспровой проверкой на время триала (чтоб сам аспр окно выдавал, а не подсовывал проге адрес TrialExpired-процедуры).

MC707
›Или я чего-то не понял?
Он имел ввиду уж не аспровую ли регистрацию ты закейгенил? :) Очень редкий автор не использует аспровые ключи (фото на документы, например).

-= ALEX =- :: ok сделаю все в свободное время...




-= ALEX =- :( блин кто-то наебал меня конкретно, теперь у меня нету мыла и...


-= ALEX =- :( блин кто-то наебал меня конкретно, теперь у меня нету мыла и нету аськи :( че делать не знаю...
Dragon :: А новые что не зарегить чтоли?

KLAUS :: Попробуй написать в службу поддержи (e-mail), чтоб мыло вернули!!
Или можешь написать на ICQ support и объяснить им насчёт аси, её конечно не вернут но закроют!

GL#0M :: Вот что бывает с людьми когда они долгое время занимаются чем-то одним ;)
(сам страдаю тем же...)

-= ALEX =- :: новое мыло это не проблема, старое бы вернуть, все же писать туда будут...

-= ALEX =- :: блин, еще одну пакость щас обнаружил. не могу залогиниться на форуме kpteam, так что kpteam’овцы помогите... аськи нету, пока никак подругому связаться не могу, кстати alex@kpnemo.ru тоже полетел :(

-= ALEX =- :: о чудо ! аська вернулась ко мне :) mail.ru шлет меня подальше, говорит мол данных мало... мож кто так ломанет ?

Runtime_err0r :: -= ALEX =-

цитата:
блин, еще одну пакость щас обнаружил. не могу залогиниться на форуме kpteam, так что kpteam’овцы помогите...


Я сам не могу ты вообще зайти на форум не можешь или только новые сообщения добавлять ?

VoicE :: Если нужны аськи, стучите мне! ;)

VoicE :: Если нужны аськи, стучите мне! ;)

nice :: -= ALEX =-
Мне кажется, когда комп у тебя глючил, тебе кто то трояна засадил, ты винт не форматил?
Может винда старая есть?

-= ALEX =- :: nice слухай, возможно. щас у меня новая винда... пароль к мылу щас вот получил, спасибо честному mail.ru :)
Runtime_err0r я не могу вообще зайти на сайт, т.к. мой пароль уже не канает :(
VoicE эх зря ты так, щас столько народу повалит с просьбами :) лучше б со мной связался приватно

Cigan :: Такое впечатление что ты трояна поймал!!! Сам не давно разбирался с ним же пришлось все пароли менять!!! Если хочешь у меня закриптованый exe остался могу подбросить!!! Там очень много интересного когда раскриптуешь!!! Он в процессе весит и в папку %SystemRooT% Прописывается!!!!

-= ALEX =- :: не ниче не надо, спасибо :)






   
Оригинальный DVD-ROM: eXeL@B DVD !


Вы находитесь на EXELAB.rU
Проект ReactOS