eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: SDK (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Основной форум —› Любителям покрякать
Посл.ответ Сообщение


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 10 сентября 2004 14:25 New!
Цитата · Личное сообщение · #1

В общем долго я думал, как бы защиту по навороченней написать, крякми свой второй улучшить и пришло мне в голову несколько интересных идей, которые я и реализовал в версии 1.8 своей проги DotFix FakeSigner. У кого есть желание попытаться сломать данное - прога лежит на моем сайте.
Чтобы прога обрела полезность для крякеров я решил внести в нее определитель компилятора/упаковщика и диалог информации о PE файле. То есть прогу теперь можно использовать вместо PEiD (хотя PEiD содержит побольше сигнатур, но основные я внес). Также убрал проверку SoftICE и Trial, то есть то, что никому не нравилось в проге. Надеюсь, что новая версия окажется полезна большему кругу людей.

Если найдутся те, кто все же крякнет или закейгенит прогу - пишите здесь (если конечно есть время и желание ломать). Сразу скажу, что сломать будет посложнее чем предыдущие версии.

Размер проги: 250 kb
URL: www.dotfix.net/soft/DotFix%20FakeSigner.rar

PS: Это не реклама, просто крякми заломало меня новый писать, а защита тут мощная. Может кто сломает? Если конечно есть желание ломать VB. сразу скажу - аспр юзается лишь как упаковщик и его снять легко.


Ранг: 1288.1 (!!!!)
Статус: Модератор

Создано: 10 сентября 2004 17:44 New!
Цитата · Личное сообщение · #2

GPcH пишет:
сразу скажу - аспр юзается лишь как упаковщик и его снять легко.
Сомнительно, как упаковщик лучше юзать к примеру UPX и ты об этом прекрасно знаешь )

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 10 сентября 2004 17:59 New!
Цитата · Личное сообщение · #3

GPcH
Как заказывали ;)
hice.antosha.ru/df_cr.rar


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 11 сентября 2004 01:25 · Поправил: GPcH New!
Цитата · Личное сообщение · #4

nice пишет:
Как заказывали ;)
http://hice.antosha.ru/df_cr.rar http://hice.antosha.ru/df_cr.rar


Только распаковал и надпись зарегистрировано сделал?
1. Чето сигнатур все равно 30, а не 204 (а в реганной версии их именно столько становится)
2. Криптовка OEP заблокирована

Недоломал ты его видимо ;) А так, для начала нормально.

Расскажи плиз всем, как аспр снимал, а то чето все думают, что в VB он сложно снимается


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 11 сентября 2004 01:28 New!
Цитата · Личное сообщение · #5

Ara пишет:
Сомнительно, как упаковщик лучше юзать к примеру UPX и ты об этом прекрасно знаешь )

Ну UPX вообще легко распаковать. Здесь хоть интересно попариться с распаковкой


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 11 сентября 2004 01:34 New!
Цитата · Личное сообщение · #6

GPcH пишет:
а то чето все думают, что в VB он сложно снимается

это кто такие все ?
Там наоборот с вб снять элементарно...


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 11 сентября 2004 01:52 New!
Цитата · Личное сообщение · #7

Mario555 пишет:
Там наоборот с вб снять элементарно...

Вот и я про это. Там ни VM, ни извратов с импортом нет, а stolen bytes вообще по минимуму

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 11 сентября 2004 03:09 New!
Цитата · Личное сообщение · #8

GPcH
Так ты бы сказал про ограничения я ж не телепат.
ПРога после 2байт сама думает, что она зарегина никакие надписи я не менял

Снимается так:
1. Проходите по Shift+F9 раз 20 (кол-во не критично)
2. Жмём Alt+M (переходим в Memory map)
находим msvbvm60 у меня лежит по адресу 6a9d1000
закрываем Memory map
встаем в секции кода, жмём Ctrl+g -> 6a9d1000 (Enter)
жмем Ctrl+n находим ф-ию ThunRTMain переходим на неё:
6A9DDE3E > 55 PUSH EBP
6A9DDE3F 8BEC MOV EBP,ESP
6A9DDE41 6A FF PUSH -1
6A9DDE43 68 809D9E6A PUSH msvbvm60.6A9E9D80
6A9DDE48 68 34FDAB6A PUSH msvbvm60.6AABFD34
6A9DDE4D 64:A1 00000000 MOV EAX,[DWORD FS:0]
6A9DDE53 50 PUSH EAX
6A9DDE54 64:8925 00000000 MOV [DWORD FS:0],ESP
6A9DDE5B 51 PUSH ECX
6A9DDE5C 51 PUSH ECX
6A9DDE5D 83EC 4C SUB ESP,4C
6A9DDE60 53 PUSH EBX
6A9DDE61 56 PUSH ESI !!СЮДА ПО F2 СТАВИМ БРЯК!!
6A9DDE62 57 PUSH EDI
Отпускаем программу и бряка срабатывает в нашей Длл
дампим, востанавливаем импорт
востанавливаем ОЕР (завалено мусором)
ОЕР обычно вида:
PUSH 00xxxxxx - это значение можн онайти прям в ThunRTMain
чуть ниже бряка
CALL ThunRTMain


Ранг: 332.0 (мудрец)
Статус: Участник
•Pr0tEcToRs KiLLeR•

Создано: 11 сентября 2004 05:06 New!
Цитата · Личное сообщение · #9

nice пишет:
жмём Ctrl+g -> 6a9d1000

а не проще Ctrl+g -> ThunRTMain

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 11 сентября 2004 08:30 New!
Цитата · Личное сообщение · #10

Mario555
Так это, пытался показать весь процесс

Ранг: 1.0 (гость)
Статус: Участник

Создано: 11 сентября 2004 09:30 New!
Цитата · Личное сообщение · #11

GPcH пишет:
Расскажи плиз всем, как аспр снимал, а то чето все думают, что в VB он сложно снимается

он там легче всего снимается, даже в импорте эмулировать НЕЧЕГО!


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 11 сентября 2004 10:29 New!
Цитата · Личное сообщение · #12

Подумал я подумал и решил поподробнее изучить защиту аспра в VB. Поглядел я несколько VB прог закриптованных аспром 2.0 и решил замутить тулзу для восстановки stolen bytes и и правки OEP. Теперь аспр распаковывается за минуту.

1. Делаем дамп на ThunRTMain с помощью Olly Dumper'а
2. Прогоняем нерабочий дамп через мою программу

URL: reversing.dotfix.net/UnVbAspr.rar
Size: 13 kb

Потестите, кому не лень.


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 12 сентября 2004 07:46 New!
Цитата · Личное сообщение · #13

Ну что, Nice? Не получилось снять ограничения в проге? Напиши, если крякнешь, OK?

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 12 сентября 2004 10:45 New!
Цитата · Личное сообщение · #14

GPcH
Надо сразу писать сейчас не знаю когда сяду за неё могет в конце недели

Ранг: 10.1 (новичок)
Статус: Участник

Создано: 14 сентября 2004 12:42 New!
Цитата · Личное сообщение · #15

Всем привет!!!

Взял в магазине диск на прогкат, установил прогу, диск на виртуалку скинул, запускаю прогу, а она просит диск, ну я думаю, что Вы поняли, что стоит какая-то защита, так как диск читается без ошибок. Если кто сталкивался с этим, помогите, плиз. Да, ксати, может быть есть прога, которая может это сделать (Виртуалка) и поэкономнее место расходовала. Заранее всем благодарен.

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 14 сентября 2004 13:14 · Поправил: nice New!
Цитата · Личное сообщение · #16

Sanya
рекомендую тебе создавать новую тему в таком случаее, описать подробно что за диск, ЧТО ТЫ ПЫТАЛСЯ С НИМ СДЕЛАТЬ И Т.П., а не втюхивать свою беду в первую попавшиюся тему


Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 15 сентября 2004 10:28 New!
Цитата · Личное сообщение · #17



Ранг: 630.8 (!)
Статус: Участник
Автор VB Decompiler

Создано: 15 сентября 2004 10:29 New!
Цитата · Личное сообщение · #18

lol

Ранг: 145.5 (ветеран)
Статус: Участник

Создано: 27 сентября 2004 22:30 New!
Цитата · Личное сообщение · #19

GPcH Я крянул "DotFix FakeSigner". регистрирует с любыми
данными в 5 полях .Выложить?

Ранг: 384.1 (мудрец)
Статус: Участник
www.int3.net

Создано: 27 сентября 2004 22:37 New!
Цитата · Личное сообщение · #20

test
Проверь кол-во сигнатур, в демки их, кажется 30, а в регеной около 200

Ранг: 145.5 (ветеран)
Статус: Участник

Создано: 28 сентября 2004 00:57 New!
Цитата · Личное сообщение · #21

nice 204 сигнатуры - все


Ранг: 265.2 (наставник)
Статус: Участник
very WELL :)

Создано: 28 сентября 2004 01:12 New!
Цитата · Личное сообщение · #22

test пишет:
Выложить?

Выкладывай ;)
 eXeL@B —› Основной форум —› Любителям покрякать

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS