eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: subzero (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› DotFix NiceProtect
Посл.ответ Сообщение

Ранг: 34.3 (посетитель)
Статус: Участник

Создано: 25 января 2015 09:37 New!
Цитата · Личное сообщение · #1

Code:
  1. > Script start
  2. > Script end
  3. + Obfuscating Form... TFORM1
  4. > Obfuscating... OK
  5. * Opening file 'D:\DotFix NiceProtect\test.exe' ... OK
  6. + Start encrypting at 0x401000
  7. + Protecting Entry Point
  8. + Hiding Entry Point Instructions... 83 byte(s) hidden
  9. + Converting to VM bytecode... 5 instruction(s)
  10. ? Original Entry Point = 0x5E54AA
  11. + New TLS address: 0x76266C
  12. + New Import Table address: 0x7624C8
  13. + Fixing Entry Point to 0xF2300... OK
  14. + Setting new section names and flags ... OK
  15. + Compressing file... ok
  16. * Closing file 'D:\DotFix NiceProtect\test.exe' ... OK
  17. * Result saved to 'D:\DotFix NiceProtect\test_protected.exe'
  18. > Script start
  19. > Script end
  20.   All operations successfully completed


https://yadi.sk/d/VA14_Hy5eDXs2

отлов OEP, заранее спасибо за любую помощь

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 25 января 2015 13:48 New!
Цитата · Личное сообщение · #2

Xlab0s пишет:
отлов OEP, заранее спасибо за любую помощь

У GPсH спроси.

Ранг: 37.9 (посетитель)
Статус: Участник

Создано: 25 января 2015 18:27 New!
Цитата · Личное сообщение · #3

какая версия продукта ?
лично игрался и даже получалось в 08-09гг распаковать версию 3.* , на сайте последняя доступная 3.8, более свежие только кастомерам по ряду причин.


Ранг: 629.9 (!)
Статус: Участник
Автор VB Decompiler

Создано: 25 января 2015 18:47 New!
Цитата · Личное сообщение · #4

Carpe DiEm
Там как раз древняя 3.8. Имхо человеку в запросы


Ранг: 646.0 (!)
Статус: Участник
ALIEN Hack Team

Создано: 25 января 2015 20:56 New!
Цитата · Личное сообщение · #5

Я правильно понял, что у человека есть упакованная найспротектом софтина, но он её выкладывать не будет. Вместо этого он упаковывает найсом что-то левое, и выкладывает оба файла - упакованный и распакованный. Или в чём тогда суть?

Ранг: 434.4 (мудрец)
Статус: Участник

Создано: 25 января 2015 22:27 New!
Цитата · Личное сообщение · #6

ARCHANGEL
Тренируется может

Xlab0s
с адреса 00B6145E начинается километровая портянка однотипного кода (как будто его копипастом руками вставляли ). Среди всего этого безумия попадаются (неожиданно, и какбы невзначай) не тронутые и чистейшие, как слеза девственницы, реальные команды с оригинального OEP.

Ранг: 37.9 (посетитель)
Статус: Участник

Создано: 26 января 2015 00:24 New!
Цитата · Личное сообщение · #7

GPcH
думаю глобальных изменений не произошло ни в 3.8 ни в 4-й ветке, а смотрел я тогда 3.4 - 3.6, получилось найти оер, сдампить и запустить тестовое приложение.

ARCHANGEL
отловить оер

tihiy_grom пишет:
...
Среди всего этого безумия попадаются (неожиданно, и какбы невзначай) не тронутые и чистейшие, как слеза девственницы, реальные команды с оригинального OEP.


пакер же


Ранг: 747.9 (! !)
Статус: Участник
bytecode!

Создано: 26 января 2015 01:48 New!
Цитата · Личное сообщение · #8

Carpe DiEm пишет:
думаю глобальных изменений не произошло ни в 3.8 ни в 4-й ветке

Вы же конечно в курсе, что GPcH - автор?


Ранг: 646.0 (!)
Статус: Участник
ALIEN Hack Team

Создано: 26 января 2015 10:45 New!
Цитата · Личное сообщение · #9

Не, ну автор, конечно, респект. Так что ж теперь - не анпакать?

| Сообщение посчитали полезным: Carpe DiEm


Ранг: 37.9 (посетитель)
Статус: Участник

Создано: 26 января 2015 12:17 New!
Цитата · Личное сообщение · #10

4kusNick Конечно, но за умеренную плату ГПЧ может забыть на время об этом и снять пакер

По существу, автору стоит посмотреть а tuts4you.com пару скриптов ещё под ~2.5 и первые версии 3 ветки , посмотреть ролик по снятию на примере 2.5 (именно это видео было доступно 5 или 6 лет назад ) и уже исходя из ознакомления и попыток сделать что-либо написать в теме, в противном случаи вангую что тему сегодня-завтра будет закрыта.


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 26 января 2015 13:07 New!
Цитата · Личное сообщение · #11

4kusNick пишет:
что GPcH - автор?


GPcH нет, это - фантастика ©
По факту - прикольный антидамп. Но если у ТС проблемы на нахождением оеп...

Ранг: 34.3 (посетитель)
Статус: Участник

Создано: 26 января 2015 13:32 · Поправил: Xlab0s New!
Цитата · Личное сообщение · #12

Видео посмотрел ещё до создания топика

DotFix NiceProtect 2.x unpack
https://yadi.sk/d/ab_COEm0eExZk

DotFix NiceProtect 3.4 unpack
https://yadi.sk/i/k3iyKsk6eExZe

Ранг: 434.4 (мудрец)
Статус: Участник

Создано: 26 января 2015 13:41 New!
Цитата · Личное сообщение · #13

Xlab0s
прогу глянул мельком, потом сразу же удалил и забыл

но на память как-то так - ставим бряк на GetProcAddress, выходим из цикла где обрабатывается импорт, ставим бряк на чтение второй секции кода, выходим и цикла где что-то ксорится и попадаем на тот адрес что я писал выше.


Ранг: 747.9 (! !)
Статус: Участник
bytecode!

Создано: 26 января 2015 13:44 New!
Цитата · Личное сообщение · #14

ARCHANGEL
Я лишь намекнул, что фраза "думаю глобальных изменений не произошло ни в 3.8 ни в 4-й ветке" выглядит забавно, ибо кому как ни GPcH знать что там произошло =)

Xlab0s пишет:
Видео посмотрел ещё до создания топика

И где застряли?
Пока не видно каких-либо попыток сделать что-то самостоятельно. Так что поддержу Carpe DiEm - либо пишите подробней что не получается, либо в запросы и закрывайте тему.


Ранг: 646.0 (!)
Статус: Участник
ALIEN Hack Team

Создано: 26 января 2015 23:19 · Поправил: ARCHANGEL New!
Цитата · Личное сообщение · #15

Code:
  1. .data:00B3E905                 nop
  2. .data:00B3E906                 nop
  3. .data:00B3E907                 test    eax, eax
  4. .data:00B3E909                 nop
  5. .data:00B3E90A                 nop
  6. .data:00B3E90B                 jz      short loc_B3E911
  7. .data:00B3E90D                 nop
  8. .data:00B3E90E                 nop
  9. .data:00B3E90F                 call    eax             ; IsDebuggerPresent


И ещё:
Code:
  1. .data:00B3F67E                 nop
  2. .data:00B3F67F                 nop
  3. .data:00B3F680                 test    eax, eax
  4. .data:00B3F682                 nop
  5. .data:00B3F683                 nop
  6. .data:00B3F684                 jz      short loc_B3F68A
  7. .data:00B3F686                 nop
  8. .data:00B3F687                 nop
  9. .data:00B3F688                 call    eax             ; CheckRemoteDebuggerPresent


И опять:
Code:
  1. .data:00B411E3                 nop
  2. .data:00B411E4                 nop
  3. .data:00B411E5                 test    eax, eax
  4. .data:00B411E7                 nop
  5. .data:00B411E8                 nop
  6. .data:00B411E9                 jz      short loc_B411EF
  7. .data:00B411EB                 nop
  8. .data:00B411EC                 nop
  9. .data:00B411ED                 call    eax ; CreateFileA \.\NTICE


Ай-ай, не хорошо.

Ранг: 37.9 (посетитель)
Статус: Участник

Создано: 26 января 2015 23:41 New!
Цитата · Личное сообщение · #16

оно не сработает, или я не прав?


Ранг: 646.0 (!)
Статус: Участник
ALIEN Hack Team

Создано: 26 января 2015 23:49 New!
Цитата · Личное сообщение · #17

Сработает. Оно там как раз для того, чтоб сработать. Просто плагов для сокрытия много, они помогут. Но сам факт, нельзя же так с нами поступать.

Ранг: 34.3 (посетитель)
Статус: Участник

Создано: 27 января 2015 15:27 · Поправил: Xlab0s New!
Цитата · Личное сообщение · #18

tihiy_grom пишет:
ставим бряк на GetProcAddress, выходим из цикла где обрабатывается импорт, ставим бряк на чтение второй секции кода, выходим и цикла где что-то ксорится и попадаем на тот адрес что я писал выше 00B6145E

спасиб попробую

ScyllaHide Plugin хватило для этого IsDebuggerPresent, CheckRemoteDebuggerPresent это CreateFileA \.\NTICE я так понял вообще только под SoftICE


Ранг: 646.0 (!)
Статус: Участник
ALIEN Hack Team

Создано: 27 января 2015 15:56 New!
Цитата · Личное сообщение · #19

Да, сверхдетекта там нет. Это, правда, не всё, но суть в том, что плаги обходят эти все трюки.
 eXeL@B —› Протекторы —› DotFix NiceProtect

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS