Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› Проблема с анализом и криптингом и крекингом l2wmx
. 1 . 2 . 3 . 4 . >>
Посл.ответ Сообщение

Ранг: 1.0 (гость)
Статус: Участник

Создано: 22 октября 2007 11:01 New!
Цитата · Личное сообщение · #1

Мои действия:
1. Использование определение пакера\крипера PEiD и ещо менее извесного: результат файл разпакован
2. Открываю в olly прохожу по програме появляется подозрение что он всетаки запакован
3. Загружаю IDA по визуальной линии програмы делаю вывод он запакован
4. Пробую снять дамп програмы-> результат невозможно прочитать память
5. Заново загружаюсь в olly немогу найти ни форм, ни чтение файла или реестра
6. Послываю файл на депакинг по e-mail на анализ в AspotectUnpacker1 -> ответ прога не запакована криптором, не смотря на названия секций.

Просмотрите, пожалуйста, програму и как мне ее распаковать, а ещо лутше если найдете 5 мин. таймер, было хорошо не 5 мин., а дня 3... или структуру обращения к файлу на зарегестированость =). А самая малость хотя б ее дамп получить.

З.Ы. Если нужна инфа что он делает могу потом описать
Сылка: _http://ifolder.ru/3829714


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 22 октября 2007 11:13 · Поправил: overwriter New!
Цитата · Личное сообщение · #2

Baza2007 пишет:
2. Открываю в olly прохожу по програме появляется подозрение что он всетаки запакован

чтобы подозрений не было в том же DiE есть определение энтропии.
Baza2007 пишет:
3. Загружаю IDA по визуальной линии програмы делаю вывод он запакован

по какой линии??? по графу ты чтоли видишь что программа запакована???
Ща посорим)))

Плять айфолдер((( не могу с него скачать там выскакивает окно (Опера почему то неблокирует) оно не грузицца потому что нету СВФ плэеера... и закрыть его не получается...

Ранг: 1.0 (гость)
Статус: Участник

Создано: 22 октября 2007 11:25 · Поправил: Baza2007 New!
Цитата · Личное сообщение · #3

да по графу вижу, так как я понимаю в IDA, серые и черные участки ето данные, синие програмный код, не может вся програма быть просто набором данных. Я только новичок не судите меня строго


Ранг: 155.4 (ветеран)
Статус: Участник
Робо-Алкаш

Создано: 22 октября 2007 11:27 New!
Цитата · Личное сообщение · #4

Baza2007, ы не сужу... я не понял просто по какой линии
перезалей на рапиду чтоли


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 22 октября 2007 11:55 New!
Цитата · Личное сообщение · #5

Файло упаковано Private exe Protector 1.8 - 2.0


Ранг: 233.1 (наставник)
Статус: Участник

Создано: 22 октября 2007 12:22 New!
Цитата · Личное сообщение · #6

Хы интересная чтука...
жалко я на шоках не играю..
Что такое L2WxManager http://xkorem.net/viewtopic.php?f=14&t=15&sid=885a43da9843757f86f147e75fd3183b#p42
з.ы.
там уже обдейт вышел)
от 20.10.2007

Ранг: 1.0 (гость)
Статус: Участник

Создано: 22 октября 2007 12:27 New!
Цитата · Личное сообщение · #7

_http://rapidshare.com/files/64313883/l2wmx.rar.html
вот ссылка на рапиду

Ранг: 1.0 (гость)
Статус: Участник

Создано: 22 октября 2007 17:02 New!
Цитата · Личное сообщение · #8

Как ето чудо мне распаковать поделитесь сылочкой на анпакер


Ранг: 161.0 (ветеран)
Статус: Участник

Создано: 22 октября 2007 17:10 New!
Цитата · Личное сообщение · #9

Распаковать- читай статью внекрилова по распаковке этого прота, статья находится в разделе РАР-статьи..


Ранг: 391.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 22 октября 2007 17:13 New!
Цитата · Личное сообщение · #10

Baza2007 анпакера нет. Прот довольно ядреный, и практически неизученый


Ранг: 238.8 (наставник)
Статус: Участник
CyberHunter

Создано: 22 октября 2007 17:16 · Поправил: Flint New!
Цитата · Личное сообщение · #11

Ранг: 1.0 (гость)
Статус: Участник

Создано: 22 октября 2007 17:23 New!
Цитата · Личное сообщение · #12

спасибо буду штудировать результаты буду выкладывать понемножку...

Ранг: 1.0 (гость)
Статус: Участник

Создано: 23 октября 2007 15:17 New!
Цитата · Личное сообщение · #13

Не могу определить куда писать иньекцию как можно в olly найти начало секции, созданой мной, и сменить ЕР; предварительно адрес 164000 но он получается за пределом програмы никак немогу понять в чем дело...

Ранг: 35.1 (посетитель)
Статус: Участник

Создано: 23 октября 2007 20:23 New!
Цитата · Личное сообщение · #14

Baza2007 пишет:
Не могу определить куда писать иньекцию как можно в olly найти начало секции, созданой мной, и сменить ЕР


RSI писал тулузу, заюзай её.
http://www.exelab.ru/f/files/83ed_29.05.2007_CRACKLAB.rU.tgz
-удалит большую секцию,
-создаст новую секцию,
-запишет в неё инъекцию,
-изменит ЕР на инъекцию.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 23 октября 2007 21:48 New!
Цитата · Личное сообщение · #15

Спасибо за тулузу надо было код всеравно за програмой писать тулка написала за пределом кода

Ранг: 1.0 (гость)
Статус: Участник

Создано: 23 октября 2007 23:17 · Поправил: Baza2007 New!
Цитата · Личное сообщение · #16

Снял дамп защиту, вписал иньекцию (все работает), но в ollydbg вылетает ошыбка как описано в статьи Внекрилова, но у меня ее описание идет не privilaged istr., a illegal instr. пытаюсь обойти джампом не получается, по логу получается что она вызывается из самого начала иньекции PUSH 40, когда ее пропускаю процесс убивается (terminated) в ntdll.dll на команде RET 10 даже немогу определить в чем ошыбка.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 24 октября 2007 13:25 New!
Цитата · Личное сообщение · #17

вот файл:
link_deleted_by_forum_engine/files/2147211
slil.ru/25015882

Ранг: 35.1 (посетитель)
Статус: Участник

Создано: 24 октября 2007 20:29 New!
Цитата · Личное сообщение · #18

Baza2007 пишет:
ollydbg вылетает ошыбка как описано в статьи Внекрилова, но у меня ее описание идет не privilaged istr., a illegal instr. пытаюсь обойти джампом не получается, по логу получается что она вызывается из самого начала иньекции PUSH 40


Внекрилов в статье джамп правил отладчика, а не подопотной проги.
В настройках олли поставь в игнор все исключения и прогу запускай Shift+F9.

Ранг: 1.0 (гость)
Статус: Участник

Создано: 25 октября 2007 00:03 New!
Цитата · Личное сообщение · #19

Amok пишет:
Внекрилов в статье джамп правил отладчика, а не подопотной проги.
В настройках олли поставь в игнор все исключения и прогу запускай Shift+F9.


А у Вас она запустилась, у меня всеравно падает...

Ранг: 1.0 (гость)
Статус: Участник

Создано: 25 октября 2007 20:34 · Поправил: Baza2007 New!
Цитата · Личное сообщение · #20

Все прога запустилась

Ранг: 0.2 (гость)
Статус: Участник

Создано: 26 октября 2007 13:04 New!
Цитата · Личное сообщение · #21

Baza2007
А выложить?

Ранг: 1.0 (гость)
Статус: Участник

Создано: 26 октября 2007 19:27 New!
Цитата · Личное сообщение · #22

Когда доделаю выложу но мне нужна помощь


Ранг: 66.5 (постоянный)
Статус: Участник
Повелитель ЗЛА

Создано: 10 ноября 2007 21:52 New!
Цитата · Личное сообщение · #23

Решил немного попрактиковаться с протом который на проге, если ещё надо, вот распакованный файл:
ev1l4c.narod.ru/l2wmx_u.rar

Ранг: 35.1 (посетитель)
Статус: Участник

Создано: 11 ноября 2007 08:02 New!
Цитата · Личное сообщение · #24

ev1l_4
Как ты восстанавливал API эмулированные протом, в статьях Внекрилова это не описано, а может я не увидел?


Ранг: 66.5 (постоянный)
Статус: Участник
Повелитель ЗЛА

Создано: 11 ноября 2007 09:24 · Поправил: ev1l_4 New!
Цитата · Личное сообщение · #25

Amok пишет:
ev1l_4
Как ты восстанавливал API эмулированные протом, в статьях Внекрилова это не описано, а может я не увидел?


Я сделал сигнатуры и по ним мой скрипт восстанавливал фактические адреса эмулируемых API. У Внекрилова, если я не ошибаюсь, только приведены элементы таблицы импорта, которые эмулируются пакером, а в скрипте по адресу из таблицы импорта выбирается фактический адрес API.

Ранг: 3.8 (гость)
Статус: Участник

Создано: 22 ноября 2007 23:40 New!
Цитата · Личное сообщение · #26

несовсем понял сломали ли вы уже мою прогу но большая просьба если сломаете (или сломали) НЕ НАДО В ПАБЛИК КИДАТЬ, имейте хоть какуюнить совесть)
ЗЫ увижу в паблике сломаную версию - забью на прогу и апдейтов небудет)


Ранг: 85.7 (постоянный)
Статус: Участник

Создано: 23 ноября 2007 00:03 New!
Цитата · Личное сообщение · #27

ты нас очень огорчил

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 23 ноября 2007 00:28 New!
Цитата · Личное сообщение · #28

xkor пишет:
имейте хоть какуюнить совесть

Имейте совесть, не пакуйте вы проги Пепом, а придумывайте нормальный алго регистрации + upx (если за размером следим)
ev1l_4 пишет:
Я сделал сигнатуры и по ним мой скрипт восстанавливал фактические адреса эмулируемых API

Скриптом не поделишься?
Amok пишет:
RSI писал тулузу, заюзай её.

А я и не знал. А рси (нехороший человек) даже не рассказал

Ранг: 3.8 (гость)
Статус: Участник

Создано: 23 ноября 2007 01:02 New!
Цитата · Личное сообщение · #29

Assass1n пишет:
Имейте совесть, не пакуйте вы проги Пепом, а придумывайте нормальный алго регистрации + upx (если за размером следим)

окей следующая версия будет работать авторизуясь через сайт получая от туда часть данных для подключения к серверу, посмотрим как крякать будете...

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 23 ноября 2007 01:14 · Поправил: Assass1n New!
Цитата · Личное сообщение · #30

xkor
Вы меня не так поняли. Я имел ввиду что пеп сам по себе довольно глючный протектор, и его стабильность оставляет желать лучшего + если, обратить внимание, несколькими постами выше, есть люди которые его спокойно снимают. А про получения данных с сайта - автор-судья, это его привелегии придумывать способ регистрации програмы.
. 1 . 2 . 3 . 4 . >>
 eXeL@B —› Крэки, обсуждения —› Проблема с анализом и криптингом и крекингом l2wmx

Видеокурс ВЗЛОМ