Русский / Russian English / Английский

Сейчас на форуме: nezmalov (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Крэки, обсуждения —› CodeArmor от VI Labs
Посл.ответ Сообщение

Ранг: 0.2 (гость)
Статус: Участник

Создано: 13 декабря 2006 02:50 New!
Цитата · Личное сообщение · #1

http://www.vilabs.com/product/codearmor.aspx http://www.vilabs.com/product/codearmor.aspx

Сталкивался кто-нить с этой защитой? Поделитесь плиз инфой/ссылками.
Нужно не столько ломать, сколько понять как она работает.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 13 декабря 2006 03:07 New!
Цитата · Личное сообщение · #2

vilko
Чет там регится надо
Thanks for your interest in V.i. Labs' application security software. To request a product demo, please complete the following information. You will be contacted by a representative within 24 hours to schedule a demo time that's convenient for you.
и нифига нет! может есть проги покрытые этой фигней?

Ранг: 0.2 (гость)
Статус: Участник

Создано: 13 декабря 2006 04:06 New!
Цитата · Личное сообщение · #3

Да, есть тестовая програмуля,
Это обычный notepad, закрытый этой защитой.


{ Атач доступен только для участников форума } - notepad.zip


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 13 декабря 2006 04:13 New!
Цитата · Личное сообщение · #4

Офигеть! Вот это лог, после запуска!

{ Атач доступен только для участников форума } - viMetrics.log

Ранг: 28.9 (посетитель)
Статус: Участник

Создано: 13 декабря 2006 05:56 New!
Цитата · Личное сообщение · #5

vilko пишет:
Да, есть тестовая програмуля,
Это обычный notepad, закрытый этой защитой

Ты ее хоть запускать пробовал? Она тупо не работает залей либо прот куда нить либо упакуй нормально и скинь.

Ранг: 0.2 (гость)
Статус: Участник

Создано: 13 декабря 2006 06:14 New!
Цитата · Личное сообщение · #6

Dark Star пишет:
Ты ее хоть запускать пробовал?


Пробовал, работает.
Но не везде, на ВыньХР SP2 работает, а на той же ВыньХР под VMWare - нет.

Еще раз говорю, ломать мне не надо, разве что из чистого любопытства.
Мне надо узнать, что именно эта защита делает.
Посоветуйте какие-нить статьи, ссылки, ресурсы, кто что встречал по сабжу.

Ранг: 138.7 (ветеран)
Статус: Участник

Создано: 14 декабря 2006 05:49 New!
Цитата · Личное сообщение · #7

vilko пишет:
Мне надо узнать, что именно эта защита делает.

Защищает наверно
Добавляет две секции iedata и vdata.
После запуска создает два процесса - один notepad.exe второй notepadvi.exe; Палит (у меня) любую Олю , не дает приатачится к процессу notepad.exe, к notepadvi.exe приатачиля. Блюдет целостность кода и наверно еще че нибудь
При снятии дампа с обоих процессов получились: один нормальный PE file второй Not a valid PE file (попорчен заголовок), но по размеру совпадают до байта. Бинарно совпадают ~ на 80% (интересно поанализировать бинарные отличия). Кстати размер упакованного гы блокнота увеличился раз в пять

{ Атач доступен только для участников форума } - Error.jpg


Ранг: 327.3 (мудрец)
Статус: Участник

Создано: 14 декабря 2006 07:51 New!
Цитата · Личное сообщение · #8

а кто-нить получил демку ?

Ранг: 138.7 (ветеран)
Статус: Участник

Создано: 15 декабря 2006 00:02 · Поправил: crc1 New!
Цитата · Личное сообщение · #9

bloom пишет:
а кто-нить получил демку ?

Я попробовал, зарегистрировался, ответили :
Thank you for your interest in V.i. Labs. A representative will follow up with you shortly to schedule a demo time that's convenient for you
Ждемс
ЗЫ. Что то не вижу активности гуру по распаковке. Имхо прот заслуживает внимания

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 декабря 2006 01:54 New!
Цитата · Личное сообщение · #10

crc1 пишет:
Я попробовал, зарегистрировался, ответили :
Thank you for your interest in V.i. Labs. A representative will follow up with you shortly to schedule a demo time that's convenient for you

Чего то обещали в 24 часа а два дня ни чего нет

Ранг: 138.7 (ветеран)
Статус: Участник

Создано: 15 декабря 2006 03:14 New!
Цитата · Личное сообщение · #11

pavka
Ты блокнот пробовал ковырять? Если да, делись впечатлениями

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 15 декабря 2006 04:29 New!
Цитата · Личное сообщение · #12

crc1
Блокнот у меня не запускается ;( Ни на XP Sp2 ни на Sp1


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 15 декабря 2006 06:39 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #13

я ковырял под 2000 никак не заставлю его под олькой запуститься...
в принципе из антиотладки ничего нового не заметил, но пока не могу спрятаться от
SetUnhandledExceptionFilter не пойму почему процесс завершается

я же пропатчил NtQueryInformationProcess

Ранг: 162.2 (ветеран)
Статус: Участник

Создано: 15 декабря 2006 13:11 New!
Цитата · Личное сообщение · #14

Сейчас бегло взглянул. Такое ощущение, что там как-то по разному эти SetUnhandledExceptionFilter используются. Половину под олли адвансед нормально проходит, а другую с ним не проходит, зато проходит на чистой ольке.


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 15 декабря 2006 13:31 New!
Цитата · Личное сообщение · #15

asd пишет:
Сейчас бегло взглянул. Такое ощущение, что там как-то по разному эти SetUnhandledExceptionFilter используются. Половину под олли адвансед нормально проходит, а другую с ним не проходит, зато проходит на чистой ольке.


угу, никак не пойму почему... надо глядеть UnhandledExceptionFilter и разбираться почему так

Если UnhandledExceptionFilter возвращает значение EXCEPTION_EXECUTE_HANDLER,
тогда выполняется код в _except-блоке.

EXCEPTION_CONTINUE_EXECUTION, после чего происходит рестарт операции вызвавшей исключение.

Если процесс действительно запущен под отладчиком, UnhandledExceptionFilter
возвращает значение EXCEPTION_CONTINUE_SEARCH, которое заставляет ОС разбудить отладчик,
и сообщить ему, что произошло исключение в отлаживаемой им программе


Ранг: 990.3 (! ! !)
Статус: Модератор
Author of DiE

Создано: 16 декабря 2006 12:20 · Поправил: Hellspawn New!
Цитата · Личное сообщение · #16

короче поглядел более внимательно... в принципе ничего особенного в интиотладке, куча стандартных приёмов... но я запнулся вот на чём:
1) создаётся поток
2) в цикле ожидаются сообщения от потока
3) в потоке какой то бред, файл переименовывается и создаётся новый процесс:

0081FD54 00000000 |ModuleFileName = NULL
0081FD58 00077A48 |CommandLine = """D:Мои документы
otepadVi.exe"" ...>i'cuА<..@=.. QQR QRX ""ј.GoZ.КО.ЕД.лгв.НМO#ОaKИ..#t"""
0081FD5C 0081FE48 |pProcessSecurity = 0081FE48
0081FD60 0081FE54 |pThreadSecurity = 0081FE54
0081FD64 00000001 |InheritHandles = TRUE
0081FD68 00000000 |CreationFlags = 0
0081FD6C 00000000 |pEnvironment = NULL
0081FD70 00000000 |CurrentDir = NULL
0081FD74 0081FF74 |pStartupInfo = 0081FF74
0081FD78 0081FE64 pProcessInfo = 0081FE64

дальше в него что-то записывается... потом ждётся отладочное событие и пи****
главнй поток терминайтед...

что за функции такие CreatePipe и DuplicateHandle?

что-то я хз чё делать
 eXeL@B —› Крэки, обсуждения —› CodeArmor от VI Labs

Видеокурс ВЗЛОМ