DotFix NiceProtect

Посл.ответ	Сообщение
Xlab0s Ранг: 37.6 (посетитель) Статус: Участник	Создано: 25 января 2015 09:37 New! Цитата · Личное сообщение · #1 Code: > Script start > Script end + Obfuscating Form... TFORM1 > Obfuscating... OK * Opening file 'D:\DotFix NiceProtect\test.exe' ... OK + Start encrypting at 0x401000 + Protecting Entry Point + Hiding Entry Point Instructions... 83 byte(s) hidden + Converting to VM bytecode... 5 instruction(s) ? Original Entry Point = 0x5E54AA + New TLS address: 0x76266C + New Import Table address: 0x7624C8 + Fixing Entry Point to 0xF2300... OK + Setting new section names and flags ... OK + Compressing file... ok * Closing file 'D:\DotFix NiceProtect\test.exe' ... OK * Result saved to 'D:\DotFix NiceProtect\test_protected.exe' > Script start > Script end All operations successfully completed https://yadi.sk/d/VA14_Hy5eDXs2 отлов OEP, заранее спасибо за любую помощь

unknownproject Ранг: 95.7 (постоянный) Статус: Участник	Создано: 25 января 2015 13:48 New! Цитата · Личное сообщение · #2 Xlab0s пишет: отлов OEP, заранее спасибо за любую помощь У GPсH спроси.
Carpe DiEm Ранг: 37.9 (посетитель) Статус: Участник	Создано: 25 января 2015 18:27 New! Цитата · Личное сообщение · #3 какая версия продукта ? лично игрался и даже получалось в 08-09гг распаковать версию 3.* , на сайте последняя доступная 3.8, более свежие только кастомерам по ряду причин.
GPcH Ранг: 630.2 (!) Статус: Участник Автор VB Decompiler	Создано: 25 января 2015 18:47 New! Цитата · Личное сообщение · #4 Carpe DiEm Там как раз древняя 3.8. Имхо человеку в запросы
ARCHANGEL Ранг: 649.1 (!) Статус: Участник ALIEN Hack Team	Создано: 25 января 2015 20:56 New! Цитата · Личное сообщение · #5 Я правильно понял, что у человека есть упакованная найспротектом софтина, но он её выкладывать не будет. Вместо этого он упаковывает найсом что-то левое, и выкладывает оба файла - упакованный и распакованный. Или в чём тогда суть?
tihiy_grom Ранг: 438.8 (мудрец) Статус: Участник	Создано: 25 января 2015 22:27 New! Цитата · Личное сообщение · #6 ARCHANGEL Тренируется может Xlab0s с адреса 00B6145E начинается километровая портянка однотипного кода (как будто его копипастом руками вставляли ). Среди всего этого безумия попадаются (неожиданно, и какбы невзначай) не тронутые и чистейшие, как слеза девственницы, реальные команды с оригинального OEP.
Carpe DiEm Ранг: 37.9 (посетитель) Статус: Участник	Создано: 26 января 2015 00:24 New! Цитата · Личное сообщение · #7 GPcH думаю глобальных изменений не произошло ни в 3.8 ни в 4-й ветке, а смотрел я тогда 3.4 - 3.6, получилось найти оер, сдампить и запустить тестовое приложение. ARCHANGEL отловить оер tihiy_grom пишет: ... Среди всего этого безумия попадаются (неожиданно, и какбы невзначай) не тронутые и чистейшие, как слеза девственницы, реальные команды с оригинального OEP. пакер же
4kusNick Ранг: 748.2 (! !) Статус: Участник bytecode!	Создано: 26 января 2015 01:48 New! Цитата · Личное сообщение · #8 Carpe DiEm пишет: думаю глобальных изменений не произошло ни в 3.8 ни в 4-й ветке Вы же конечно в курсе, что GPcH - автор?
ARCHANGEL Ранг: 649.1 (!) Статус: Участник ALIEN Hack Team	Создано: 26 января 2015 10:45 New! Цитата · Личное сообщение · #9 Не, ну автор, конечно, респект. Так что ж теперь - не анпакать? \| Сообщение посчитали полезным: Carpe DiEm
Carpe DiEm Ранг: 37.9 (посетитель) Статус: Участник	Создано: 26 января 2015 12:17 New! Цитата · Личное сообщение · #10 4kusNick Конечно, но за умеренную плату ГПЧ может забыть на время об этом и снять пакер По существу, автору стоит посмотреть а tuts4you.com пару скриптов ещё под ~2.5 и первые версии 3 ветки , посмотреть ролик по снятию на примере 2.5 (именно это видео было доступно 5 или 6 лет назад ) и уже исходя из ознакомления и попыток сделать что-либо написать в теме, в противном случаи вангую что тему сегодня-завтра будет закрыта.
Gideon Vi Ранг: 1110.7 (!!!!) Статус: Участник	Создано: 26 января 2015 13:07 New! Цитата · Личное сообщение · #11 4kusNick пишет: что GPcH - автор? GPcH нет, это - фантастика © По факту - прикольный антидамп. Но если у ТС проблемы на нахождением оеп...
Xlab0s Ранг: 37.6 (посетитель) Статус: Участник	Создано: 26 января 2015 13:32 · Поправил: Xlab0s New! Цитата · Личное сообщение · #12 Видео посмотрел ещё до создания топика DotFix NiceProtect 2.x unpack https://yadi.sk/d/ab_COEm0eExZk DotFix NiceProtect 3.4 unpack https://yadi.sk/i/k3iyKsk6eExZe
tihiy_grom Ранг: 438.8 (мудрец) Статус: Участник	Создано: 26 января 2015 13:41 New! Цитата · Личное сообщение · #13 Xlab0s прогу глянул мельком, потом сразу же удалил и забыл но на память как-то так - ставим бряк на GetProcAddress, выходим из цикла где обрабатывается импорт, ставим бряк на чтение второй секции кода, выходим и цикла где что-то ксорится и попадаем на тот адрес что я писал выше.
4kusNick Ранг: 748.2 (! !) Статус: Участник bytecode!	Создано: 26 января 2015 13:44 New! Цитата · Личное сообщение · #14 ARCHANGEL Я лишь намекнул, что фраза "думаю глобальных изменений не произошло ни в 3.8 ни в 4-й ветке" выглядит забавно, ибо кому как ни GPcH знать что там произошло =) Xlab0s пишет: Видео посмотрел ещё до создания топика И где застряли? Пока не видно каких-либо попыток сделать что-то самостоятельно. Так что поддержу Carpe DiEm - либо пишите подробней что не получается, либо в запросы и закрывайте тему.
ARCHANGEL Ранг: 649.1 (!) Статус: Участник ALIEN Hack Team	Создано: 26 января 2015 23:19 · Поправил: ARCHANGEL New! Цитата · Личное сообщение · #15 Code: .data:00B3E905 nop .data:00B3E906 nop .data:00B3E907 test eax, eax .data:00B3E909 nop .data:00B3E90A nop .data:00B3E90B jz short loc_B3E911 .data:00B3E90D nop .data:00B3E90E nop .data:00B3E90F call eax ; IsDebuggerPresent И ещё: Code: .data:00B3F67E nop .data:00B3F67F nop .data:00B3F680 test eax, eax .data:00B3F682 nop .data:00B3F683 nop .data:00B3F684 jz short loc_B3F68A .data:00B3F686 nop .data:00B3F687 nop .data:00B3F688 call eax ; CheckRemoteDebuggerPresent И опять: Code: .data:00B411E3 nop .data:00B411E4 nop .data:00B411E5 test eax, eax .data:00B411E7 nop .data:00B411E8 nop .data:00B411E9 jz short loc_B411EF .data:00B411EB nop .data:00B411EC nop .data:00B411ED call eax ; CreateFileA \.\NTICE Ай-ай, не хорошо.
Carpe DiEm Ранг: 37.9 (посетитель) Статус: Участник	Создано: 26 января 2015 23:41 New! Цитата · Личное сообщение · #16 оно не сработает, или я не прав?
ARCHANGEL Ранг: 649.1 (!) Статус: Участник ALIEN Hack Team	Создано: 26 января 2015 23:49 New! Цитата · Личное сообщение · #17 Сработает. Оно там как раз для того, чтоб сработать. Просто плагов для сокрытия много, они помогут. Но сам факт, нельзя же так с нами поступать.
Xlab0s Ранг: 37.6 (посетитель) Статус: Участник	Создано: 27 января 2015 15:27 · Поправил: Xlab0s New! Цитата · Личное сообщение · #18 tihiy_grom пишет: ставим бряк на GetProcAddress, выходим из цикла где обрабатывается импорт, ставим бряк на чтение второй секции кода, выходим и цикла где что-то ксорится и попадаем на тот адрес что я писал выше 00B6145E спасиб попробую ScyllaHide Plugin хватило для этого IsDebuggerPresent, CheckRemoteDebuggerPresent это CreateFileA \.\NTICE я так понял вообще только под SoftICE
ARCHANGEL Ранг: 649.1 (!) Статус: Участник ALIEN Hack Team	Создано: 27 января 2015 15:56 New! Цитата · Личное сообщение · #19 Да, сверхдетекта там нет. Это, правда, не всё, но суть в том, что плаги обходят эти все трюки.

ВИДЕОКУРС ВЗЛОМвыпущен 2 июня!

ВИДЕОКУРС ВЗЛОМ
выпущен 2 июня!