eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: RevCred, SaNX (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка Dyamar Protector
Посл.ответ Сообщение

Ранг: 2.0 (гость)
Статус: Участник

Создано: 11 сентября 2015 18:27 New!
Цитата · Личное сообщение · #1

Извиняюсь, если создал тему не в том разделе.
Возможно кто-то сталкивался с распаковкой Dyamar.
Существуют скрипты для распаковки или возможно есть хороший мануал ?
Файл - http://rghost.ru/8JYWFp5mk
Заранее благодарен за помощь.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 11 сентября 2015 18:33 New!
Цитата · Личное сообщение · #2

Забавно то, что FF автоматически локает этот файл при скачивании.Не судьба понять алгоритм ? Посмотреть, какие функции вызываются в теле секции распаковщика перед запуском программы ? Очередная тема "сделайте за меня".

Ранг: 2.0 (гость)
Статус: Участник

Создано: 11 сентября 2015 18:41 New!
Цитата · Личное сообщение · #3

unknownproject пишет:
"сделайте за меня".

"Существуют скрипты для распаковки или возможно есть хороший мануал ?"
читать умеете ?

Ранг: 5.2 (гость)
Статус: Участник

Создано: 11 сентября 2015 19:10 New!
Цитата · Личное сообщение · #4

попробуй этот скрипт
https://forum.tuts4you.com/topic/36868-dyamar-protector-13x-unpacker/

Ранг: 382.5 (мудрец)
Статус: Участник

Создано: 11 сентября 2015 19:27 New!
Цитата · Личное сообщение · #5

--> Тут <-- есть видео.



Ранг: 988.8 (! ! !)
Статус: Участник

Создано: 11 сентября 2015 19:33 New!
Цитата · Личное сообщение · #6

да гугл набит ответами, для этого не нужно было создавать тему

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 11 сентября 2015 19:51 · Поправил: 11 сентября 2015 19:54 unknownproject New!
Цитата · Личное сообщение · #7

KingMaster пишет:
"Существуют скрипты для распаковки или возможно есть хороший мануал ?"
читать умеете ?

То, что вы них..ничего не сделали сами говорит о том, что Вы и не пытались.Это делфи.OEP всегда в конце секции кода.Она одна, значит это версия до 7.Хер с ним.
OEP: 001B96FC
IATRVA: 002041B4
IATSize: 000008E8

Мучайтесь дальше сами.Скрипт там никакой не нужен, все распаковывается руками и ненужные секции вырезаются.

Ранг: 2.0 (гость)
Статус: Участник

Создано: 12 сентября 2015 15:21 · Поправил: 12 сентября 2015 15:28 KingMaster New!
Цитата · Личное сообщение · #8

unknownproject пишет:
OEP: 001B96FC

Разрешите узнать, тогда сколько равен ImageBase ?
Т.к. с данной точкой выполнить распаковку не удается.
OEP: 001B96FC + 400000
OEP: 005B96FC это если с ImageBase...

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 12 сентября 2015 16:13 · Поправил: 12 сентября 2015 16:26 unknownproject New!
Цитата · Личное сообщение · #9

KingMaster пишет:
Разрешите узнать, тогда сколько равен ImageBase ?
Т.к. с данной точкой выполнить распаковку не удается.
OEP: 001B96FC + 400000
OEP: 005B96FC это если с ImageBase...

Неужели не видно было, что это RVA.VA - виртуальный адрес, т.е. адрес в памяти с учетом базового, а RVA - без учета базового, т.е. он вычитается.Надобно бы сначала посмотреть, как в PE хидере хранятся данные в соответствующих полях прежде, чем задавать такие вопросы.ImageBase нужен только для помещения образа программы в память, а для правки физического файла его не учитывают.Некоторые компиляторы относительный виртуальный адрес делают равным смещению(позиции) в самом файле.В этом протекторе нужно править только несколько полей, но это тривиальный случай.Тлс целая, релоки целые, ресурсы целые.Сжат только код.Основная защита там в самом коде, а не в протекторе.После N-ного кол-ва попыток запуска эта прога больше не стартанет и не важно снят ли с нее протектор или нет.

Ранг: 2.0 (гость)
Статус: Участник

Создано: 12 сентября 2015 16:33 New!
Цитата · Личное сообщение · #10

unknownproject пишет:
.После N-ного кол-ва попыток запуска эта прога больше не стартанет и не важно снят ли с нее протектор или нет.

Это я почти сразу понял.
Сейчас ещё раз попробую распаковать.

Ранг: 95.7 (постоянный)
Статус: Участник

Создано: 12 сентября 2015 16:45 · Поправил: 12 сентября 2015 18:06 unknownproject New!
Цитата · Личное сообщение · #11

ImageBase можно спокойно менять, как и любое другое поле, так что он не всегда может быть равен 400000.Если что-то после распаковки не запускается, то надо внимательно проверять все поля согласно спецификации PE формата.Проще всего использовать CFF Explorer, PE Tools, Lord PE и подобные им.
В delphi, если секция .idata (старая секция импорта) не вырезана, то можно импорт восстанавливать в нее.Естественно она должна быть вычищена (забита нулями).

Code:
  1. 005A11C4  /.  55            PUSH EBP //здесь проверяются гаврики с форума BHF
  2. 0059EA5C   $  55            PUSH EBP //а здесь проги с запрещенными именами.

(Это прологи процедур, если что.Все условные переходы находятся чуть ниже).
Бан происходит по айпи адресу.После его смены при запуске снова запрашивается лицензия.

| Сообщение посчитали полезным: KingMaster


Ранг: 2.0 (гость)
Статус: Участник

Создано: 12 сентября 2015 18:09 · Поправил: 12 сентября 2015 18:10 KingMaster New!
Цитата · Личное сообщение · #12

unknownproject пишет:
ImageBase можно спокойно менять, как и любое другое поле, так что он не всегда может быть равен 400000.Если что-то после распаковки не запускается, то надо внимательно проверять все поля согласно спецификации PE формата.Проще всего использовать CFF Explorer, PE Tools, Lord PE и подобные им.
В delphi, если секция .idata (старая секция импорта) не вырезана, то можно импорт восстанавливать в нее.Естественно она должна быть вычищена (забита нулями).

Code:
005A11C4  /.  55            PUSH EBP //здесь проверяются гаврики с форума BHF
0059EA5C   $  55            PUSH EBP //а здесь проги с запрещенными именами.

(Это прологи процедур, если что.Все условные переходы находятся чуть ниже).
Бан происходит по айпи адресу.После его смены при запуске снова запрашивается лицензия.


Очень вам благодарен за своевременную помощь, но надеюсь, что с защитой я сам разобраться смогу.
Сейчас основную задачу себе поставил одолеть Dyamar.
Ещё раз спасибо за помощь.
 eXeL@B —› Протекторы —› Распаковка Dyamar Protector

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS