eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: NoRG (+6 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› Распаковка TheHyper Protector
Посл.ответ Сообщение

Ранг: 3.9 (гость)
Статус: Участник

Создано: 6 октября 2016 22:04 · Поправил: 6 октября 2016 22:04 lenovo New!
Цитата · Личное сообщение · #1

Наткнулся на вот такую загагулину.
В сети информации нет ,как и самого протектора,
Есть ли Мануалы или какие распаковщики?
вот упакованный пациент.
Интересует процесс распаковки поиска точки входа и тд.


PS:+ мыслишка проскользнула имея пакованный файл можно ли востановить сам упаковщик (если да то как)?

{ Атач доступен только для участников форума } - NTS.7z


Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 6 октября 2016 23:57 · Поправил: 6 октября 2016 23:58 daFix New!
Цитата · Личное сообщение · #2

lenovo
В загрузчике реализована какая-то простенькая виртуальная машина, выборка обработчиков оппкодов лежит по адресу 0104A621

Образ Kernel32 копирует в выделенное пространство и дальнейшие API вызовы происходят уже в копию образа.

Пока застрял на ZwQueryInformationProcess с параметром ProcessDebugObjectHandle
Палюсь и стек уходит в небеса

Ранг: 5.5 (гость)
Статус: Участник

Создано: 7 октября 2016 01:12 New!
Цитата · Личное сообщение · #3

Не от этой приблуды ноги растут?
https://exelab.ru/f/index.php?action=vthread&forum=1&topic=7989

| Сообщение посчитали полезным: lenovo


Ранг: 409.2 (мудрец)
Статус: Участник

Создано: 7 октября 2016 02:36 New!
Цитата · Личное сообщение · #4


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 9 октября 2016 05:18 New!
Цитата · Личное сообщение · #5

daFix

После первого теневого системного вызова(Id > 1000) антидебага нет - делаем небольшой стаб, который мониторит сервисы и генерит Int3, тогда олли приаттачится. Можно это и в кернел отладчике сделать, кому как удобнее. Ну что бы не парится с антидебагом при запуске. Но там в памяти мусор" из за морфа(или может обфускации хз), так что дальнейшие действия не ясны, тоесть деморфить и раскуривать вм в случае крякми это слишком долго.

| Сообщение посчитали полезным: daFix, Gideon Vi



Ранг: 527.1 (!)
Статус: Участник
5KRT

Создано: 10 октября 2016 03:55 New!
Цитата · Личное сообщение · #6

difexacaw
Ну да, так раньше старфорс отлаживали) Не стал уже париться и дальше долбить стаб.
Хотя, было бы больше времени, поковырял бы его. Действительно интересная штуковина


Ранг: 316.3 (мудрец)
Статус: Участник

Создано: 10 октября 2016 20:19 · Поправил: 10 октября 2016 20:19 difexacaw New!
Цитата · Личное сообщение · #7

daFix

Вся виртуализация, криптование етц, всё упирается одну ключевую проблему - нет способа гарантировано отделить код от данных, это изначально баг в самой идеи пе формата. Как следствие полное изменение кода можно сделать корректно только с некоторой и причём малой вероятностью. Посему это и не применяется. В данном случае такое тоже смысл имеет, это не морф, это обфускация, скорее всего реализована на макросах как обычно, только так можно обьяснить те переходники на апи. И доказательством этого может быть отсутствие самого криптора/протектора, так как он и есть этот семпл
 eXeL@B —› Протекторы —› Распаковка TheHyper Protector

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS