eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: Adler, Boomer23 (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› помогите с Armadilo (6.04/7)
Посл.ответ Сообщение

Ранг: 4.7 (гость)
Статус: Участник

Создано: 9 апреля 2013 19:23 New!
Цитата · Личное сообщение · #1

Привет.
Есть два приложения, одно запаковано Armadilo 6.04 другое 7.0
В обоих используется алгоритм который меня очень сильно интересует.
Опыт реверсинга у меня небольшой есть, но вот с протекторами иметь дело не приходилось.
Очень хотелось бы получить распакованный экзешник что бы начать иследовать код.

Подскажите пожалуйста хороший туториал и инструменты что бы снять армадилу любой из этих двух версий.
Спасибо.

Ранг: 121.3 (ветеран)
Статус: Участник

Создано: 9 апреля 2013 19:27 · Поправил: Jaa New!
Цитата · Личное сообщение · #2

попробуй ArmaG3ddon'ом
туторы смотри --> тут <--

Ранг: 386.2 (мудрец)
Статус: Участник
"Тибериумный реверсинг"

Создано: 9 апреля 2013 19:59 New!
Цитата · Личное сообщение · #3

nen777w пишет:
Опыт реверсинга у меня небольшой есть, но вот с протекторами иметь дело не приходилось.

В таком случае, времени придется убить Вам изрядно над всякими CopyMem...но тут главное - желание!

Категория must read: https://www.exelab.ru/faq/Armadillo
https://exelab.ru/art/?action=view&id=142


Ранг: 228.7 (наставник)
Статус: Участник
radical

Создано: 9 апреля 2013 20:22 · Поправил: DimitarSerg New!
Цитата · Личное сообщение · #4

nen777w
Ну дык обязательно снимать ? Можно и кейген сделать, если не лвл10 + к тому же версии не новые, то есть может прокатить ключ, сгенеренный через дыру от NGEN и под лвл10 (под первый серт).
Мой совет - взять на тутсях Armadillo KeyTool и глянуть серты.

Ранг: 4.7 (гость)
Статус: Участник

Создано: 9 апреля 2013 23:27 New!
Цитата · Личное сообщение · #5

DimitarSerg пишет:
Ну дык обязательно снимать ? Можно и кейген сделать, если не лвл10 + к тому же версии не новые, то есть может прокатить ключ, сгенеренный через дыру от NGEN и под лвл10 (под первый серт).
Мой совет - взять на тутсях Armadillo KeyTool и глянуть серты.


Есть не кейген а сброс триала к одному из этих приложений. Но как это мне может помочь. Меня интересует реализация алгоритма а не сама программа.


Jaa пишет:
попробуй ArmaG3ddon'ом

Попробовал. Он распаковывает айл создается, но приложение не запускается. Падает на старте. Но и похоже что не все распаковывает.

[i]Jaa пишет:
туторы смотри --> тут <--


Нашел видео тутор, поробую там при помоши оли вскрывают UnPackMe.exe
Автор на видео говорит. Ставим бряк на OpenMutexA потом F9 и F9 , но у меня приложение останавливается не в том же месте как и у него. Хотя файл над которым он шаманит один и тот же из его же тутора. Оля у меня odbg201g


Ранг: 660.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 9 апреля 2013 23:46 New!
Цитата · Личное сообщение · #6

nen777w
Для начала надо взять Armadillo Find Protected и посмотреть, какие опции использовались при упаковке.

{ Атач доступен только для участников форума } - Armadillo Find Protected 2.0.rar

Ранг: 617.3 (!)
Статус: Участник

Создано: 9 апреля 2013 23:47 New!
Цитата · Личное сообщение · #7

nen777w пишет:
Ставим бряк на OpenMutexA потом F9 и F9 , но у меня приложение останавливается не в том же месте как и у него.

Ставь еще бряк на VirtualProtect, если после первого OpenMutexA сработает он, значит там нет DebugBlocker и бряк на OpenMutexA ставить не нужно.

Ранг: 4.7 (гость)
Статус: Участник

Создано: 10 апреля 2013 00:10 New!
Цитата · Личное сообщение · #8

Пробую распаковать ArmaG3ddon'ом, он выдает такой месседж бокс:
---------------------------
Ready to dump!
---------------------------
Child PID: 1EDC

OEP VA: 00406BF8
OEP RVA: 00006BF8

Warning: OEP call return VA: 00514151
is not from Armadillo VM!!

---------------------------
ОК Отмена
---------------------------

Нажимаю ок. Сохраняю экзечину.. она больше по размеру, но не запускается.


Ранг: 129.0 (ветеран)
Статус: Участник

Создано: 10 апреля 2013 00:22 New!
Цитата · Личное сообщение · #9

nen777w пишет:
Нажимаю ок. Сохраняю экзечину.. она больше по размеру, но не запускается.

А вы пробовали сначала сделать то, что порекомендовал ARCHANGEL?
Если да, тогда исходя из лога работы Armadillo Find Protected понятно, что нужно делать дальше.
Если нет, тогда нечего удивляться тому, что .ехе не запускается.

Ранг: 4.7 (гость)
Статус: Участник

Создано: 10 апреля 2013 00:49 New!
Цитата · Личное сообщение · #10

verdizela пишет:
А вы пробовали сначала сделать то, что порекомендовал ARCHANGEL?
Если да, тогда исходя из лога работы Armadillo Find Protected понятно, что нужно делать дальше.
Если нет, тогда нечего удивляться тому, что .ехе не запускается.


Protected Armadillo
<-Find Protect
Protection system (Professional)
<Protection Options>
Debug-Blocker
CopyMem-II
Import Table Elimination
Strategic Code Splicing
Nanomites Processing
Memory-Patching Protections
<Backup Key Options>
Fixed Backup Keys
<Compression Options>
Best/Slowest Compression
<Other Options>
<-Find Version
Version 7.00 27-10-2009


Ранг: 228.7 (наставник)
Статус: Участник
radical

Создано: 10 апреля 2013 00:57 · Поправил: DimitarSerg New!
Цитата · Личное сообщение · #11

nen777w пишет:
Нажимаю ок. Сохраняю экзечину.. она больше по размеру, но не запускается.

Что естественно, обычно можно как минимум 3 секции отрезать.

nen777w пишет:
Nanomites Processing

Наномит Фиксером пройдись (обычно в комплекте с Армагеддоном)

Ранг: 4.7 (гость)
Статус: Участник

Создано: 10 апреля 2013 03:05 · Поправил: nen777w New!
Цитата · Личное сообщение · #12

DimitarSerg пишет:
Наномит Фиксером пройдись (обычно в комплекте с Армагеддоном)


Спасибо.
Запустил фиксер. Выбрал сдампленный файл потом оригинальный файл. Поправил OEP.
Нажал на Scan Nano, тот дошел до 4672 и упал. в смысле приложение упало.
Сдампленный файл не поменялся.
Есть еще какие то способы или это все?

Ранг: 9.4 (гость)
Статус: Участник

Создано: 10 апреля 2013 06:54 New!
Цитата · Личное сообщение · #13

nen777w пишет:
Есть еще какие то способы или это все?

Для начинающего у тебя попался сложный случай
Strategic Code Splicing
Nanomites Processing
учитывая что тебе нужен алгоритм
то есть два пути:
использовать приватный унпакер, но врятли ты его найдеш
либо просить когото распаковать.
Полюбому чтобы видеть где утебя затык, а не гадать на кофейной гуще
нужно видетьпрогу.

Ранг: 4.7 (гость)
Статус: Участник

Создано: 10 апреля 2013 12:51 New!
Цитата · Личное сообщение · #14

4d1m пишет:
Для начинающего у тебя попался сложный случай
Strategic Code Splicing
Nanomites Processing
учитывая что тебе нужен алгоритм
то есть два пути:
использовать приватный унпакер, но врятли ты его найдеш
либо просить когото распаковать.
Полюбому чтобы видеть где утебя затык, а не гадать на кофейной гуще
нужно видетьпрогу.


Я так понимаю ссылки тут на программу приводить нельзя?
Или можно тут дать ссылку? Может кто то поможет? Если сложно и платно, то я бы заплатил.


Ранг: 157.2 (ветеран)
Статус: Участник

Создано: 10 апреля 2013 13:03 New!
Цитата · Личное сообщение · #15

nen777w пишет:
Или можно тут дать ссылку?

Можно.

nen777w пишет:
Может кто то поможет? Если сложно и платно, то я бы заплатил.

--> Запросы на взлом программ <--

Ранг: 4.7 (гость)
Статус: Участник

Создано: 10 апреля 2013 13:12 New!
Цитата · Личное сообщение · #16

ZaZa пишет:
Можно.

выложил тут

ZaZa пишет:
--> Запросы на взлом программ <--

Так то взлом. Я про то что насколько я понял Армадило достаточно дырявый что бы можно было бы сгенерировать ключи не занимаясь распаковкой всей програмы.
Меня же интересует распакованная программа, которую я буду дизасемдлировать в IDA и иследовать не пердмет некоторых алгоритмов использующихся в ней.


Ранг: 1993.2 (!!!!)
Статус: Модератор
retired

Создано: 10 апреля 2013 14:18 New!
Цитата · Личное сообщение · #17

Тема закрыта за нарушение п.3+8 правил форума.
И запросы вполне сгодятся. Напиши, что надо только распаковать, и всё.
 eXeL@B —› Протекторы —› помогите с Armadilo (6.04/7)
Эта тема закрыта. Ответы больше не принимаются.

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS