eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› ArmaG3ddon
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 19 февраля 2008 04:46 · Поправил: Модератор New!
Цитата · Личное сообщение · #1

ArmaG3ddon v1.8 (10 декабря 2009)

Armag3ddon Armadillo unpacking tool designed specifically to deal with the many protection features available in versions 3.78 thru 6.2 and possibly above (see readme.txt for details)

Ключевые возможности:

* Standard Protection
* Minimum Protection
* Memory Patching
* Debugblocker
* CopyMemII
* Import Elimination
* Import Redirection (Emulation)
* Strategic Code Splicing
* Nanomites
* Randomized PE section names
* Shockwave Flash + applications that utilize overlays (minimize size option required)
* Hardware locking (Standard / Enhanced Fingerprint support)

Скачать на сайте ARTeam http://www.accessroot.com/arteam/site/download.php?view.262
ArmaG3ddon_v18_by_ARTeam.rar http://www.accessroot.com/arteam/site/request.php?262 , 1.64 MB

Tutorial: ArmaGeddon v1.0 Conceptual overview tool for unpacking Armadillo http://www.accessroot.com/arteam/site/download.php?view.221


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 19 февраля 2008 06:13 New!
Цитата · Личное сообщение · #2

Огромное спасибо, у меня как раз проблемы с 3.хх армадиллой.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 19 февраля 2008 10:23 New!
Цитата · Личное сообщение · #3

У кого-нибудь нормально работает? На фрапсе неверно определяет OEP, а больше сейчас ничего под рукой нет


Ранг: 500.5 (!)
Статус: Участник

Создано: 19 февраля 2008 12:09 New!
Цитата · Личное сообщение · #4

Gideon Vi
Болванку со всеми опциями (+false nano) распаковал на ура, версия 4.40.0197 Custom.
Easy CD-DA Extractor v.11 распаковал с некоторыми доработками вручную.
В общем - must have

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 19 февраля 2008 13:43 New!
Цитата · Личное сообщение · #5

Ну маст. не маст, но поделка довольно интересная. 5-ку распаковало, а другие не брали. Правда иногда оеп не правильно определяет.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 19 февраля 2008 17:44 New!
Цитата · Личное сообщение · #6

Assass1n пишет:
Правда иногда оеп не правильно определяет.


Вот это мешает. Насколько я вижу, автор не озаботился прикрутить ручной ввод oep?

Ранг: 17.1 (новичок)
Статус: Участник

Создано: 19 февраля 2008 20:05 New!
Цитата · Личное сообщение · #7

x64 распаковывает?

Ранг: 158.7 (ветеран)
Статус: Участник

Создано: 19 февраля 2008 22:40 New!
Цитата · Личное сообщение · #8

ut2004 пишет:
x64 распаковывает?

Скачай и проверь...


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 19 февраля 2008 22:53 New!
Цитата · Личное сообщение · #9

Gideon Vi пишет:
Вот это мешает

Кому мешает? Не долго же после распаковки наставить ОЕП на путь истенный.


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 19 февраля 2008 23:38 New!
Цитата · Личное сообщение · #10

а на Link Commander у меня обломилась

Ранг: 617.3 (!)
Статус: Участник

Создано: 19 февраля 2008 23:44 New!
Цитата · Личное сообщение · #11

Похоже, что и не работает если сначала показыватся армовский "наг", попробовал на 2х играх, говорит string: 8b853f3fxxxxxxxxxx not found.


Ранг: 196.4 (ветеран)
Статус: Участник

Создано: 20 февраля 2008 00:23 New!
Цитата · Личное сообщение · #12

не смогла распаковать единственную прогу которая мне интересна - Mobiola WebCam for UIQ3... жаль


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 20 февраля 2008 02:31 New!
Цитата · Личное сообщение · #13

Maximus пишет:
Кому мешает? Не долго же после распаковки наставить ОЕП на путь истенный.


Не долго, но тулза позиционируется, как полноценный анпакер - не долго было окошко с полем для ввода циферок с буковками присобачить

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 февраля 2008 12:02 New!
Цитата · Личное сообщение · #14

Распаковывать кто нить пробовал армагедон? Висит вроде ленин протектор может с ручной доработкой ?сама прога вроде как сишная
чет похожее на начало
00409375 66:813D 00004000 4D5A CMP WORD PTR DS:[400000],5A4D
0040937E 74 04 JE SHORT Dumped.00409384
00409380 33C0 XOR EAX,EAX
00409382 EB 51 JMP SHORT Dumped.004093D5
00409384 A1 3C004000 MOV EAX,DWORD PTR DS:[40003C]
00409389 81B8 00004000 5045000>CMP DWORD PTR DS:[EAX+400000],4550
00409393 ^ 75 EB JNZ SHORT Dumped.00409380
00409395 0FB788 18004000 MOVZX ECX,WORD PTR DS:[EAX+400018]
0040939C 81F9 0B010000 CMP ECX,10B
004093A2 74 1B JE SHORT Dumped.004093BF
004093A4 81F9 0B020000 CMP ECX,20B
004093AA ^ 75 D4 JNZ SHORT Dumped.00409380
004093AC 83B8 84004000 0E CMP DWORD PTR DS:[EAX+400084],0E
004093B3 ^ 76 CB JBE SHORT Dumped.00409380
004093B5 33C9 XOR ECX,ECX
004093B7 3988 F8004000 CMP DWORD PTR DS:[EAX+4000F8],ECX
004093BD EB 11 JMP SHORT Dumped.004093D0
004093BF 83B8 74004000 0E CMP DWORD PTR DS:[EAX+400074],0E
004093C6 ^ 76 B8 JBE SHORT Dumped.00409380
004093C8 33C9 XOR ECX,ECX
004093CA 3988 E8004000 CMP DWORD PTR DS:[EAX+4000E8],ECX
004093D0 0F95C1 SETNE CL
004093D3 8BC1 MOV EAX,ECX
004093D5 6A 02 PUSH 2
004093D7 A3 8C564200 MOV DWORD PTR DS:[42568C],EAX
004093DC FF15 24024200 CALL DWORD PTR DS:[420224] ; MSVCR80.__set_app_type
004093E2 6A FF PUSH -1
004093E4 FF15 20024200 CALL DWORD PTR DS:[420220] ; MSVCR80._encode_pointer
004093EA 59 POP ECX
004093EB 59 POP ECX
004093EC A3 E0594200 MOV DWORD PTR DS:[4259E0],EAX
004093F1 A3 E4594200 MOV DWORD PTR DS:[4259E4],EAX
004093F6 FF15 1C024200 CALL DWORD PTR DS:[42021C] ; MSVCR80.__p__fmode
004093FC 8B0D D0594200 MOV ECX,DWORD PTR DS:[4259D0]
00409402 8908 MOV DWORD PTR DS:[EAX],ECX
00409404 FF15 18024200 CALL DWORD PTR DS:[420218] ; MSVCR80.__p__commode
0040940A 8B0D CC594200 MOV ECX,DWORD PTR DS:[4259CC]
00409410 8908 MOV DWORD PTR DS:[EAX],ECX
00409412 A1 14624500 MOV EAX,DWORD PTR DS:[<&msvcr80._adjust_>
00409417 8B00 MOV EAX,DWORD PTR DS:[EAX]
00409419 A3 D4594200 MOV DWORD PTR DS:[4259D4],EAX
0040941E E8 C4020000 CALL Dumped.004096E7
00409423 E8 86040000 CALL Dumped.004098AE
00409428 833D 8C3A4200 00 CMP DWORD PTR DS:[423A8C],0
0040942F 75 0C JNZ SHORT Dumped.0040943D
00409431 68 AE984000 PUSH Dumped.004098AE ; Entry address
00409436 FF15 10024200 CALL DWORD PTR DS:[420210] ; MSVCR80.__setusermatherr
0040943C 59 POP ECX
0040943D E8 43040000 CALL Dumped.00409885
00409442 833D 883A4200 FF CMP DWORD PTR DS:[423A88],-1
вторая секция типичное делфи
0041F634 55 PUSH EBP
0041F635 8BEC MOV EBP,ESP
0041F637 83C4 C4 ADD ESP,-3C
0041F63A B8 B4F54100 MOV EAX,Dumped.0041F5B4
0041F63F E8 F0F1FEFF CALL Dumped.0040E834
0041F644 E8 5BD2FEFF CALL Dumped.0040C8A4


Ранг: 500.5 (!)
Статус: Участник

Создано: 20 февраля 2008 12:41 New!
Цитата · Личное сообщение · #15

pavka пишет:
сама прога вроде как сишная

+1

pavka пишет:
вторая секция типичное делфи

судя по дампу - во второй секции лежит библиотека, причём с затёртым как и у оригинала заголовком...

+что интересно - имееццо защита от full dump PE_Tools'а, если дампить регионом то всё в подряде...


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 20 февраля 2008 12:44 New!
Цитата · Личное сообщение · #16

У меня че-то ни под одной сборкой ольки не запускается

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 февраля 2008 12:57 New!
Цитата · Личное сообщение · #17

Spirit пишет:
У меня че-то ни под одной сборкой ольки не запускается

Он запускается только в цикле ;) фишка лениного прота где и чем он палит так и не нашел
Smon пишет:
судя по дампу - во второй секции лежит библиотека, причём с затёртым как и у оригинала заголовком...

+что интересно - имееццо защита от full dump PE_Tools'а, если дампить регионом то всё в подряде...

очень похоже на второй слой, может стаб самопального прота


Ранг: 271.6 (наставник)
Статус: Участник

Создано: 20 февраля 2008 13:03 New!
Цитата · Личное сообщение · #18

pavka
и как его дебажить?
получается можно только приаттачиться и посмотреть


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 20 февраля 2008 14:31 New!
Цитата · Личное сообщение · #19

pavka пишет:
0041F634 55 PUSH EBP
0041F635 8BEC MOV EBP,ESP
0041F637 83C4 C4 ADD ESP,-3C
0041F63A B8 B4F54100 MOV EAX,Dumped.0041F5B4
0041F63F E8 F0F1FEFF CALL Dumped.0040E834
0041F644 E8 5BD2FEFF CALL Dumped.0040C8A4

Скорее всего это дельФе.Бывшая секция кода разбита теперь на две секции.
Табличка почти целая.
Под Айсом пробовал???

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 февраля 2008 14:53 New!
Цитата · Личное сообщение · #20

Bronco пишет:
Скорее всего это дельФе.Бывшая секция кода разбита теперь на две секции.

да делфи ;) Там получается слой кода С, слои кoda делфи, общая иат, сишная data, делфи дата Х.з как это все склеили ;)
Spirit пишет:
и как его дебажить?
получается можно только приаттачиться и посмотреть

Ну в принципе можно закциклить, восстановить импорт и думать как все собрать в кучу


Ранг: 1998.8 (!!!!)
Статус: Модератор
retired

Создано: 20 февраля 2008 15:51 New!
Цитата · Личное сообщение · #21

pavka пишет:
Там получается слой кода С, слои кoda делфи, общая иат, сишная data, делфи дата Х.з как это все склеили

Дык вы читали статью то? Он там варганил из длл либ и цеплял её статически к проекту, отсюда и смешения языков, видимо.


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 20 февраля 2008 16:16 New!
Цитата · Личное сообщение · #22

pavka
Со стабом фиг знает, если только не дельфовый юзать, а
с импортом там фигня,сдампи регион
Dump_7FF50000_00050000
Потом находишь инструкции типа
push 7ffxxxxx
ret
правишь на jmp [xxxxxxx] , адреса лежат в сдампленном регионе.
//Мона в любом HEXEdit глянуть.
У мну PE Tools дампитЦа шоколадно...


Ранг: 390.8 (мудрец)
Статус: Участник
REVENGE сила, БеХоЦе могила

Создано: 20 февраля 2008 16:25 · Поправил: Maximus New!
Цитата · Личное сообщение · #23

При наличии секции .nano в распакованной программе, жертва не работает в висте . Косяк в обнаружении адреса GetProcAddress, вместо нее находится процедура GetPrivateProfileStructW и прога падает.
Если у кого есть виста, гляньте где надо подправить, а то у мну негде поотлаживать, нет висты...


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 20 февраля 2008 18:42 New!
Цитата · Личное сообщение · #24

Айс пока лениво ставить, а под Олькой много не поюзаешь, пока шаманю над тупым дампом..
Не хотелось бы, ещё раз ошибатЦа, но родное OEP по ходу здесь:
0409459 > $ 55 PUSH EBP
0040945A . 8BEC MOV EBP,ESP
0040945C .^ E9 35FDFFFF JMP Dumped_.00409196

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 20 февраля 2008 18:54 New!
Цитата · Личное сообщение · #25

Bronco пишет:
правишь на jmp [xxxxxxx] , адреса лежат в сдампленном регионе.

чуть по другому ;) скрипт
var addr
var addr2
var addr3
var addr7
var oep
var ckb




mov addr,00401000
mov oep,eip

CALLS_01:
find addr,#68????F57FC3#
cmp $RESULT,0
je END_01
mov eip, $RESULT
mov addr, $RESULT
sti
sti
mov ckb,[eip]
and ckb,000000FF
cmp ckb,FF
je jw
sti
mov addr2,eip
add addr2,2
mov addr3, [addr2]


mov addr7, addr
mov [addr7], 15ff
add addr7,2
mov [addr7], addr3

LABEL_01:
add addr,2
jmp CALLS_01
jw:
mov addr2,eip
add addr2,2
mov addr3, [addr2]


mov addr7, addr
mov [addr7], 25ff
add addr7,2
mov [addr7], addr3

LABEL_01:
add addr,2
jmp CALLS_01

END_01:
mov eip,oep
ret

Bronco пишет:
Не хотелось бы, ещё раз ошибатЦа, но родное OEP по ходу здесь:
0409459 > $ 55 PUSH EBP
0040945A . 8BEC MOV EBP,ESP
0040945C .^ E9 35FDFFFF JMP Dumped_.00409196

Там инициализация из делфи ч.з потоки х.з муть короче


Ранг: 328.7 (мудрец)
Статус: Участник

Создано: 20 февраля 2008 19:33 New!
Цитата · Личное сообщение · #26

на форуме appznet автор (или не автор) просит ссылки на проги с сабжевыми глюками


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 20 февраля 2008 19:35 · Поправил: Bronco New!
Цитата · Личное сообщение · #27

pavka
ГЫ...OEP родное, роднее просто не бывает...
Приатачил в тупую сдамленный регион (7FF50000) к дампу(сдампил PE Tools) , с востановленным импортом.
Подмарафетил push под новую секцию.У мну дамп стартует.
[add]
Фиг знает для чего там дельфовая либа, у мну дамп, даже потестить не на чем.
Download Link:
www.sendspace.com/file/8ngge7
[/add]

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 21 февраля 2008 08:06 New!
Цитата · Личное сообщение · #28

Bronco
;) Стартует не вопрос. Х.з стартовый код должон быть
004093D7 A3 8C564200 MOV DWORD PTR DS:[42568C],EAX
004093DC FF15 24024200 CALL DWORD PTR DS:[420224] ; MSVCR80.__set_app_type
004093E2 6A FF PUSH -1
004093E4 FF15 20024200 CALL DWORD PTR DS:[420220] ; MSVCR80._encode_pointer
004093EA 59 POP ECX
004093EB 59 POP ECX
004093EC A3 E0594200 MOV DWORD PTR DS:[4259E0],EAX
004093F1 A3 E4594200 MOV DWORD PTR DS:[4259E4],EAX
004093F6 FF15 1C024200 CALL DWORD PTR DS:[42021C] ; MSVCR80.__p__fmode
004093FC 8B0D D0594200 MOV ECX,DWORD PTR DS:[4259D0]
00409402 8908 MOV DWORD PTR DS:[EAX],ECX
00409404 FF15 18024200 CALL DWORD PTR DS:[420218] ; MSVCR80.__p__commode
0040940A 8B0D CC594200 MOV ECX,DWORD PTR DS:[4259CC]
00409410 8908 MOV DWORD PTR DS:[EAX],ECX
00409412 A1 14624500 MOV EAX,DWORD PTR DS:[<&msvcr80._adjust_>
00409417 8B00 MOV EAX,DWORD PTR DS:[EAX]
00409419 A3 D4594200 MOV DWORD PTR DS:[4259D4],EAX
0040941E E8 C4020000 CALL Dumped.004096E7
00409423 E8 86040000 CALL Dumped.004098AE
00409428 833D 8C3A4200 00 CMP DWORD PTR DS:[423A8C],0
0040942F 75 0C JNZ SHORT Dumped.0040943D
00409431 68 AE984000 PUSH Dumped.004098AE ; Entry address
00409436 FF15 10024200 CALL DWORD PTR DS:[420210] ; MSVCR80.__setusermatherr

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 21 февраля 2008 10:21 New!
Цитата · Личное сообщение · #29

Вот примерно так оеп
.004099B6: 6A70 push 070 ;'p'
.004099B8: 6880194200 push 000421980 ;' B Ç'
.004099BD: E815000000 call .0004099D7
.004099C2: 33DB xor ebx,ebx
.004099C4: 53 push ebx
.004099C5: 8B3DAC614500 mov edi,GetModuleHandleA -- 1
.004099CB: FFD7 call edi
.004099CD: E8A3F9FFFF call .000409375 -- 2
.004099D2: E882FAFFFF call .000409459 -- 3
.004099D7: 6868944000 push 000409468 -- 4
.004099DC: 64A100000000 mov eax,fs:[000000000]
.004099E2: 50 push eax
.004099E3: 8B442410 mov eax,[esp][010]
.004099E7: 896C2410 mov [esp][010],ebp
.004099EB: 8D6C2410 lea ebp,[esp][010]
.004099EF: 2BE0 sub esp,eax
.004099F1: 53 push ebx
.004099F2: 56 push esi
.004099F3: 57 push edi
.004099F4: 8B45F8 mov eax,[ebp][-8]
.004099F7: 8965E8 mov [ebp][-018],esp
.004099FA: 50 push eax
.004099FB: 8B45FC mov eax,[ebp][-4]
.004099FE: C745FCFFFFFFFF mov d,[ebp][-4],-1 ;'    '
.00409A05: 8945F8 mov [ebp][-8],eax
.00409A08: 8D45F0 lea eax,[ebp][-010]
.00409A0B: 64A300000000 mov fs:[000000000],eax
.00409A11: C3 retn
.00409A12: 0000 add [eax],al

rapidshare.com/files/93608981/ArmageddonU.rar


Ранг: 274.9 (наставник)
Статус: Участник
Advisor

Создано: 21 февраля 2008 11:20 New!
Цитата · Личное сообщение · #30

pavka пишет:
Вот примерно так оеп

Колись где рипнул?????
//поШто "родное" обидел...
------------
Код либы дельфовой, инициализацию проходит видать при унпаке сабжей, и юзаетЦа скорее всего для востановления импорта.
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . 10 . >>
 eXeL@B —› Протекторы —› ArmaG3ddon

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS