eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: v00doo, rmn
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› снятие hasp srm 3.25 envelope
Посл.ответ Сообщение

Ранг: 5.7 (гость)
Статус: Участник

Создано: 12 мая 2014 09:24 · Поправил: saffers New!
Цитата · Личное сообщение · #1

прошу помочь в распаковке - снятие конверта предположительно hasp srm 3.25

использую модифицированную olly - DeFixed c плагинами. Конверт под DeFixed запускается и вроде бы нормально работается в большинстве случаев, хотя дебаггер вроде временами хасп все же детектит (при использовании пошаговой трассировки), т.к. замечал интересные эффекты

oep довольно легко нашел методом бряка HR ESP-6

конверт не восстанавливает iat полностью, вместо некоторый функций kernel32.dll, user32.dll, advapi32.dll хасп делает переходники

код конверта в самых ответственных местах изобилует мусорным кодом - ничего не делающими инструкциями, искусственным вызовом процедур, комбинациями переходов jns/js, jbe/ja

нашел отдельное место, где в iat прописывается имя отресолвленной функции, а также нашел место, где прописывается переходник. От чего это зависит я не смог найти.
соответственно, каким образом можно заставить конверт восстановить iat? в чем прикол? каким образом конверт решает, когда восстанавливать импорт, а когда нет?

поделитесь информацией, кто щупал хасп

Добавлено спустя 17 часов 3 минуты
решил пойти другим путем.
поизучать скрипты HASP Envelope IAT Fixer
примерно понял, на чем основана работа скрипта.

комрады, подскажите, сигнатуры в скриптах за что отвечают и для чего используют адрес GetTickCount , может кто-то знает...

вот, например
Code:
  1. gpa "GetTickCount", "kernel32.dll"
  2. mov addrGetTickCount, $RESULT
  3.  
  4.  
  5. find protectSectionBase, #668BC087D387DA558BEC#
  6.  
  7. find prtc_sec, #66C1E7??5E5B8BE566C1E6??5DC3#


п.с. догла временно нет, скрипты опробовать пока не могу.


{ Атач доступен только для участников форума } - Hasp IAT fixer.rar

Ранг: 5.7 (гость)
Статус: Участник

Создано: 19 мая 2014 20:05 New!
Цитата · Личное сообщение · #2

Снял я таки этот конверт. Нашел место в переходниках, где конверт восстанавливает и вызывает api. Написал свой скрипт для восстановления IAT.
Как снова получу ключ, то напишу статейку и выложу скрипт.

Теперь можно бороться с api хаспа, которые вызываются изнутри прог.

Ранг: 271.6 (наставник)
Статус: Модератор
CrackLab

Создано: 19 мая 2014 20:55 New!
Цитата · Личное сообщение · #3

saffers пишет:
Снял я таки этот конверт. Нашел место в переходниках, где конверт восстанавливает и вызывает api. Написал свой скрипт для восстановления IAT.


Да там 1 переход поправить... Скрипты еще писать

Ранг: 5.7 (гость)
Статус: Участник

Создано: 19 мая 2014 21:48 New!
Цитата · Личное сообщение · #4

SReg Я видел этот трюк в видеотуториале от блэкшторма, но мне не удалось найти этот переход.
наверно, еще раз стоит внимательней пересмотреть видео...

Ранг: 271.6 (наставник)
Статус: Модератор
CrackLab

Создано: 19 мая 2014 22:11 New!
Цитата · Личное сообщение · #5

saffers
какие есче видео.. бряк на запись поставил и ты в нужном месте или рядом

| Сообщение посчитали полезным: Vnv



Ранг: 521.0 (!)
Статус: Участник
5KRT

Создано: 19 мая 2014 22:44 New!
Цитата · Личное сообщение · #6

SReg
В последних версиях конверта иногда бывает ваще жесть

Ранг: 86.4 (постоянный)
Статус: Участник

Создано: 20 мая 2014 00:30 · Поправил: Vnv New!
Цитата · Личное сообщение · #7

daFix
Сколько конвертов не открывал (при наличии ключа), ни разу не видел "жесть".

Ранг: 5.7 (гость)
Статус: Участник

Создано: 21 мая 2014 11:26 New!
Цитата · Личное сообщение · #8

daFix
Каким то образом можно точно идентифицировать версию конверта?
разные PE идентификаторы показывают в общем, без деталей

SReg
видеотутор --> Link <--


Ранг: 315.6 (мудрец)
Статус: Участник
born to be evil

Создано: 21 мая 2014 11:57 New!
Цитата · Личное сообщение · #9

saffers
по версии hasp api, как правило
 eXeL@B —› Протекторы —› снятие hasp srm 3.25 envelope

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS