eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка Private EXE Protector
. 1 . 2 . 3 . >>
Посл.ответ Сообщение

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 8 января 2011 13:38 New!
Цитата · Личное сообщение · #1

Распаковка Private EXE Protector

| Сообщение посчитали полезным: Leatherfase, sierra, dosprog


Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 8 января 2011 13:46 New!
Цитата · Личное сообщение · #2

В последнее время мне стали чаще попадаться программы, упакованные Private EXE Protector. Кроме того, за последнее время SetiSoft выпустил несколько последних версий своего протектора, которые не поддаются распаковке тем методом, который я описывал в своих статьях в 2007 году. Я решил восполнить этот пробел, и запланировал написать несколько статей на эту тему. Хочу сказать, что мне удалось практически полностью автоматизировать процесс восстановления секции ресурсов, которые в предыдущих моих статьях приходилось восстанавливать вручную. Сегодня я выкладываю 1-ю часть статьи, в которой описан процесс распаковки программ, упакованных Private EXE Protector. К этой статье приложены три скрипта, которые значительно помогают автоматизировать процесс распаковки программы. Во второй части статьи будет описан процесс восстановления секции ресурсов программы, и приложены скрипты для автоматизации этого процесса. Буду, как всегда, признателен за замечания, пожелания и критику.

{ Атач доступен только для участников форума } - Private EXE Protector (Распаковка по vnekrilov).rar

| Сообщение посчитали полезным: Airenikus, [c4], Hellspawn, hlmadip, ClockMan, BAHEK, 3ton, MasterSoft, Gideon Vi, deepred, NaumLeNet, Dem0n1C, KingSise, FrenFolio, Vintersorg, SReg, zeppe1in, NikolayD, _ruzmaz_, Coderess, [Nomad], sendersu, Valemox, [0utC4St], Error13Tracer, Isaev, antipod, Kindly, tihiy_grom, mak, Lumen, demon1232010, Tyra, Talula, d0wn, 0xf0rd, aRiX, babelpatcher, AtilkaShooter2, Utwig


Ранг: 281.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 8 января 2011 15:15 New!
Цитата · Личное сообщение · #3

vnekrilov
эх...опередил меня ещё не смотрел, но догадываюсь, что ты умница

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 8 января 2011 17:02 New!
Цитата · Личное сообщение · #4

У меня огромная просьба к читающим мои статьи - если вы увидите какие-либо ошибки или неточности, сообщите мне о них. В моих планах, после завершения цикла статей, все объединить в один флакон, и выложить в формате .chm. Поэтому, при окончательной редакции, я смогу учесть все замечания, пожелания и ошибки. Признателен NaumLeNet за указанную им ошибку в статье.

Ранг: 510.2 (!)
Статус: Модератор

Создано: 9 января 2011 00:53 · Поправил: sendersu New!
Цитата · Личное сообщение · #5

Private EXE Protector 3.2.4 demo наглухо вешает CFF при попытке просмотра data directories!
ето только у меня такое?

Ранг: 299.1 (наставник)
Статус: Модератор
CrackLab

Создано: 9 января 2011 01:21 New!
Цитата · Личное сообщение · #6

sendersu
Это у всех такое. Так и должно быть Посмотри размеры секции

Ранг: 510.2 (!)
Статус: Модератор

Создано: 9 января 2011 01:44 New!
Цитата · Личное сообщение · #7

SReg
спс, вижу - секция .bss почти 700 МБ (да и в статье ето есть)
а также SizeOfImage
но вообщето SectionHeaders и DataDirectories(=PE Directories) - разные вещи, верно ведь?

еще вопрос знатокам -при загрузке PEP324demo Олли ругается:
---------------------------
Error
---------------------------
Bad or unknown format of 32-bit executable file 'F:\test\Private exe Protector 3.2.4.demo\Private exe Protector.exe'
---------------------------
OK


все установки и плагины как в статье

Ранг: 281.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 9 января 2011 01:49 · Поправил: MasterSoft New!
Цитата · Личное сообщение · #8

sendersu
Olly advanced поставь и на вкладке bugfixes поставь галку на Kill NumOfRva Bug

Added:
ну или можешь сам в петулсе поправить Number of Rva and Sizes на 10 скажем, но тада мессадж црц же ёпта...позже напишу статейку про инлайн пепки там и расскажу, про наги, crc, hwid и прочую байду.)

SReg ток что подсказал, что в стронге тож фича эта есть, галку сюда: !*Kill BadPEBug и будет тебе счастье)

vnekrilov
статью мельком глянул, зачот, респект и уважуха, ну впрочем ты в своём репертуаре, thx! оч уж хочется на твой дампер ресурсов глянуть, а то я ток писать начал и вдруг сегодня уже перестал

Ранг: 510.2 (!)
Статус: Модератор

Создано: 9 января 2011 03:08 New!
Цитата · Личное сообщение · #9

MasterSoft
в точку! спс
Олли перестал ругаццо. А еще - в том же Олли адв. есть галка Break on TLS Callback - без нее надо или руками или пролетим

Ранг: 281.6 (наставник)
Статус: Участник
Destroyer of protectors

Создано: 9 января 2011 03:27 New!
Цитата · Личное сообщение · #10

sendersu пишет:
есть галка Break on TLS Callback

на еп ты всё-равно тормознёшься, ИМХО, для анпака ручками брякаться на калбэке не обязательно. как дела со скриптами обстоят не знаю .не пробывал.

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 9 января 2011 11:01 New!
Цитата · Личное сообщение · #11

Сегодня я выкладываю вторую часть статьи по распаковке Private EXE Protector, в которой подробно описана структура секции ресурсов PE-файлов, а также приведены скрипты для восстановления украденных ресурсов и записи их в секцию ресурса распакованного файла. Я очень благодарен всем, кто прислал мне свои замечания и предложения по первой части туториала. Эти замечания очень для меня ценные, и позволят улучшить окончательный вариант туториала.

И просьба, нет ли у кого предыдущих версий Private EXE Protector, поскольку в моей коллекции нет их всех. В некоторых версиях меняется цепочки байтов, и это позволило бы мне, в случае необходимости, откорректировать окончательные варианты скриптов. Если кто-то может поделиться, сбросьте на какой-либо обменник.

{ Атач доступен только для участников форума } - Private EXE Protector (Распаковка по vnekrilov - часть 2).rar

| Сообщение посчитали полезным: NaumLeNet, FrenFolio



Ранг: 334.1 (мудрец)
Статус: Участник
born to be evil

Создано: 9 января 2011 12:30 New!
Цитата · Личное сообщение · #12

vnekrilov
PeP 1.9, 1.9.5, 2.0, 2.15, 2.25, 3.0.1, 3.0.2, 3.0.7, 3.2.0 - ушло в личку


Ранг: 263.9 (наставник)
Статус: Участник
RBC

Создано: 9 января 2011 13:25 New!
Цитата · Личное сообщение · #13

PeP 2.7.1, 3.1.4 - ушли.

Ранг: 299.1 (наставник)
Статус: Модератор
CrackLab

Создано: 9 января 2011 13:44 New!
Цитата · Личное сообщение · #14

Может нужны кому то...

Code:
  1. [Private exe Protector 1.8X-1.9X -> SetiSoft Team] 
  2. signature = 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4B 45 52 4E 45 4C 33 32 2E 44 4C 4C 00 ?? ?? ?? ?? 00 00 00 00 00 00 45 78 69 74 50 72 6F 63 65 73 73 
  3. ep_only = false
  4.  
  5. [Private exe Protector 2.0 -> SetiSoft Team] 
  6. signature = 00 00 00 00 00 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4B 45 52 4E 45 4C 33 32 2E 44 4C 4C 00 ?? ?? ?? ?? 00 00 00 00 00 00 
  7. ep_only = false
  8.  
  9. [Private exe Protector 2.15-2.2X -> SetiSoft Team] 
  10. signature = 00 00 00 00 00 00 00 00 00 00 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 4B 45 52 4E 45 4C 33 32 2E 44 4C 4C 00 00 00 00 00 
  11. ep_only = false
  12.  
  13. [Private exe Protector V3.00-V3.0X -> SetiSoft Team * Sign.By.fly * 20090215] 
  14. signature = 00 00 00 00 00 00 00 00 00 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E0 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E0 00 00 00 00 00 00 00 00 00 00 00 00 
  15. ep_only = false
  16.  
  17. [Private exe Protector V3.07 -> SetiSoft Team * Sign.By.fly * 20090603] 
  18. signature = 40 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ?? ?? ?? ?? ?? ?? ?? ?? 00 00 00 00 00 00 00 00 ?? ?? ?? ?? 18 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ?? ?? ?? 00 2E ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 00 10 00 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 20 00 00 60 2E 
  19. ep_only = false
  20.  
  21. [Private exe Protector V3.1.4 -> SetiSoft Team - Mato - 20100705] 
  22. signature = 50 00 72 00 69 00 76 00 61 00 74 00 65 00 20 00 65 00 78 00 65 00 20 00 50 00 72 00 6F 00 74 00 65 00 63 00 74 00 6F 00 72 00 00 00 34 00 08 00 01 00 50 00 72 00 6F 00 64 00 75 00 63 00 74 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 00 00 33 00 2E 00 31 00 2E 00 34 00 2E 00 30 
  23. ep_only = false


ajax
Kindly
расшарьте, это не бог весть какой "приват"

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 9 января 2011 15:02 New!
Цитата · Личное сообщение · #15

ajax
Kindly
Большое спасибо за предоставленный материал.
SReg
Эти сигнатуры могут пригодиться.

Ранг: 3.8 (гость)
Статус: Участник

Создано: 9 января 2011 15:03 · Поправил: DGX New!
Цитата · Личное сообщение · #16

ajax пишет:
2.0, 2.15, 2.25, 3.0.1, 3.0.2, 3.0.7

Скинь в пм.

v3.2.3


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 9 января 2011 17:08 New!
Цитата · Личное сообщение · #17

vnekrilov пишет:
наибольшей проблемой, которая имеется при распаковке таких программ, является восстановление украденной секции ресурсов в упакованных файлах

Наибольшая проблема - отсутсвие пары, без которой упнак - пустышка.
С востановлением сьеденных ресурсов, проблем не было, кроме маленького неудобства с именами битмапов.
======
Отрисовка нага, подразумевает отсутвие лицензии, а если она есть?

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 9 января 2011 19:11 · Поправил: vnekrilov New!
Цитата · Личное сообщение · #18

Bronco пишет:
Наибольшая проблема - отсутствие пары, без которой упнак - пустышка.


Да, существуют разные способы защиты программ, у одних достаточно поменять один-два условных прыжка, и программа становится зарегистрированной, к другим программам нужно применить ключ, который позволяет раскриптовать несколько участков кода, и программа становится полностью рабочей. А в некоторых демо-версиях программ вообще выброшены большие куски кода, что значительно снижает функционал таких программ. Мне приходилось на ранних демо-версиях программы Passolo дописывать килобайты недостающего кода, и переводить их из версии Demo в версии Full. А были и случаи, когда мне присылали валидную пару - HwiD+регистрационный ключ, и просили с помощью такой пары распаковать программу с получением полностью раскриптованного всего кода, чтобы отвязать такую программу от конкретной машины.

Поэтому я считаю, что нужно уметь распаковывать все программы, защищенные разными протекторами, пусть они даже будут демо-версиями. Ведь иногда находишь нужную программу, у друзей просишь валидную пару HWiD+регистрационный ключ, подменяешь HWiD на своем компе, и получаешь полностью рабочую программу и для себя, и для друзей. Поэтому - мое глубокое убеждение - уметь распаковывать и так называемые "пустышки". Такое умение "пустышкой" не бывает!!!


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 9 января 2011 21:32 · Поправил: Bronco New!
Цитата · Личное сообщение · #19

vnekrilov, к чему этот опус, я так и не понял.
Лично для себя, при чтении статьи, хотел увидеть разницу в развити топовой защиты.
Больше года за ней слежу, ибо надоело вскрывать в N-ый раз одно и то же....
Может не правильно читал.
На том что есть (3.1.4), скрипт"Распаковка Private EXE Protector.osc" выдал месседж "Ошибка!!! Подпрограмма изменения APIs, связанных с обработкой ресурсов файла, не найдена!"
//add:
Ради интереса, залил демку:
1.замеры тактов, автор не юзает больше двух лет
2.половину iat, защита перенесла.
// там нет эмуляции api, там нет даже эмуляции переходников.
Не уверен, что в полной версии всё будет именно так.
3.очевидно юзаешь плуг TlsCatch.dll
4.V.Size- первой секции = V.Size файла до компресии
//так и осталось.

--------------------
существуют разные способы защиты программ
Допустим, что предмет обсуждения навесные защиты, то способы, как решение - что защитить, практически одни и те же, а вот уровень реализации этих решений, в том числе и лицензирование, действительно разные.
подменяешь HWiD на своем компе, и получаешь полностью рабочую программу
Спорный вопрос, даже после пепки, марафетить приходится...
Такое умение "пустышкой" не бывает!!!
Если тебе, это поможет приобрести к примеру новый авто, то я за тебя рад...

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 13 января 2011 18:00 New!
Цитата · Личное сообщение · #20

После получения дистрибутивов PEP, я дорабатываю скрипт для распаковки полученных версий от 2.7 до 3.2.4 (чтобы он получился универсальным для всех версий протектора). Работа продвигается, с моей точки зрения, достаточно успешно. Однако приходится полностью перерабатывать скрипт для распаковки PEP. Причина заключается в том, что, начиная с версии 3.1.4 (имеются ввиду версии PEP, которые есть у меня), SetiSoft изменил способ эмуляции APIs. Если в версиях до 3.1.4 он получал адрес API непосредственно после ее вызова из кода программы, то в последующих версиях он получает все адреса API в VM_PEP, и, при вызове нужной API, в VM_PEP уже имеется прыжок на реальный адрес этой API. Конечно, объединить несколько концепций в одном скрипте достаточно сложно, но можно, поскольку у меня уже имеется такой опыт при разработке серии скриптов для практически всех версий Asprotect. Так что немного подождите, и дня через 2-3 я выложу универсальный вариант скрипта, который будет распаковывать те версии PEP, которые будут указаны в этом скрипте.

| Сообщение посчитали полезным: deepred, Gideon Vi, [0utC4St], sngsprs



Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 14 января 2011 06:19 New!
Цитата · Личное сообщение · #21

Может я что-то не вкурил, но у меня без правки секций файлы, пакованные ПЕПом, вообще под отладчик не запускаются - просто виснут в бесконечном цикле где-то внутри загрузчика, даже не доходя до DbgBreakPoint. А в туторах это умалчивается - это у меня одного такая проблема?

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 14 января 2011 12:32 New!
Цитата · Личное сообщение · #22

ARCHANGEL пишет:
просто виснут в бесконечном цикле

железо старое мало памяти

| Сообщение посчитали полезным: Bronco



Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 14 января 2011 13:28 New!
Цитата · Личное сообщение · #23

ARCHANGEL пишет:
под отладчик не запускаются - просто виснут в бесконечном цикле


дык секции монстрячные, памяти не хватает


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 14 января 2011 13:53 New!
Цитата · Личное сообщение · #24

pavka пишет:

железо старое мало памяти

8 Гигов оперативы.

Ранг: 329.1 (мудрец)
Статус: Участник

Создано: 14 января 2011 14:28 New!
Цитата · Личное сообщение · #25

ARCHANGEL пишет:
просто виснут в бесконечном цикле где-то внутри загрузчика


Я у себя на это тоже обратил внимание. Выход нашел следующий - в отладчике устанавливаю параметр "Делать первую паузу на системной breakpoint". Когда программа на ней останавливается, перевожу дамп программы на блок памяти системной dll. После чего жму F9, чтобы остановиться на EP. Просто я обратил внимание на то, что прорисовка дампа с секцией VM_PEP занимает много памяти, и резко замедляет работу машины. Кстати, что интересно - PEP 3.0.1 жрет массу памяти, PEP 3.0.2 жрет памяти уже значительно меньше, а начиная с 3.0.7 машина работает достаточно быстро.

Доработал и выкладываю скрипт для распаковки PEP. Его работу я протестировал на всех программах, которые у меня были, вроде бы работает без сбоев. На каких протекторах он тестировался - указано в заголовке скрипта. Буду признателен за сообщение об ошибках, на каких программах скрипт дает сбой. Просто у меня не очень много программ, упакованных этим протектором.


{ Атач доступен только для участников форума } - Распаковка Private EXE Protector.osc

| Сообщение посчитали полезным: [0utC4St], maddmaks, DGX



Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 14 января 2011 15:08 New!
Цитата · Личное сообщение · #26

vnekrilov пишет:
Выход нашел следующий - в отладчике устанавливаю параметр "Делать первую паузу на системной breakpoint". Когда программа на ней останавливается...

У меня ни одна программа, запакованная ПЕПом, до неё не доходит. Вот в чём проблема! vnekrilov, выложи пример програамы, на которой ты тестировал скрипты, если есть возможность.

Ранг: 1045.7 (!!!!)
Статус: Участник

Создано: 14 января 2011 15:19 New!
Цитата · Личное сообщение · #27

ARCHANGEL пишет:
8 Гигов оперативы.

Ищи косяки в системе . Все пепы без проблем брякаются на тлс. Подобная фигня была на старой тошке с третьим пеньком грузился нерально медленно, просто надоедало ждать


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 14 января 2011 15:34 New!
Цитата · Личное сообщение · #28

ARCHANGEL пишет:
выложи пример програамы, на которой ты тестировал скрипты, если есть возможность


pep защищен сам собой - бери любую версию прота из тех, что перечислены в скрипте.


Ранг: 269.3 (наставник)
Статус: Участник
Advisor

Создано: 14 января 2011 23:47 New!
Цитата · Личное сообщение · #29

pavka пишет:
железо старое мало памяти


+1, на пеньке двухядерном, шо сучка дешёвая летает...


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 15 января 2011 08:04 New!
Цитата · Личное сообщение · #30

Bronco пишет:
+1, на пеньке двухядерном, шо сучка дешёвая летает...

Intel CoreI7 850 - нифига не доходит до DbgBreakPoint.
. 1 . 2 . 3 . >>
 eXeL@B —› Протекторы —› Распаковка Private EXE Protector
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS