eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: ajax (+4 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Протекторы —› PELock 2.xx
Посл.ответ Сообщение


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 29 июля 2019 16:03 New!
Цитата · Личное сообщение · #1

Хотелось бы поинтересоваться, имел ли кто-нибудь дело с этой версией прота ? Что можете сказать ? Есть ли на текущий момент под него скрипты/тулзы/туторы ?

P.S. Интересует любая инфа по теме


Ранг: 127.8 (ветеран)
Статус: Участник

Создано: 29 июля 2019 17:56 New!
Цитата · Личное сообщение · #2

ну скачиваем с сайта https://www.pelock.com/products/pelock/download
упаковываем что нибудь calc.exe тестируем как обычно,что меняет как устроен.
а информацию по распаковке, смотрим поисковики китайцев и сайты арабов они всегда впереди нас.


Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 29 июля 2019 18:32 New!
Цитата · Личное сообщение · #3

SDK пишет:
ну скачиваем с сайта https://www.pelock.com/products/pelock/download
упаковываем что нибудь calc.exe тестируем как обычно,что меняет как устроен.


Ну вот скачать и упаковать calc.exe точно бы ни за что не догадался.

SDK пишет:
а информацию по распаковке, смотрим поисковики китайцев и сайты арабов они всегда впереди нас.


А поточнее что-нибудь ?


Ранг: 127.8 (ветеран)
Статус: Участник

Создано: 29 июля 2019 20:32 New!
Цитата · Личное сообщение · #4

Rainbow пишет:
А поточнее что-нибудь ?

www.52pojie.cn unpack.cn поисковик их https://www.baidu.com
у арабов не помню сайты


Ранг: 79.4 (постоянный)
Статус: Участник

Создано: 2 августа 2019 05:59 New!
Цитата · Личное сообщение · #5

SDK пишет:
www.52pojie.cn unpack.cn поисковик их https://www.baidu.com
у арабов не помню сайты

было AoReTeam/com/vb ? в основном на этом сайте было все, но в данном моменте закрыт
и ещё есть другой сайт
https://www.at4re.net/f/


Ранг: 316.1 (мудрец)
Статус: Участник

Создано: 5 августа 2019 15:18 New!
Цитата · Личное сообщение · #6

Там демо версия. Простой прот, после запуска образ полностью распаковывается. Импорт частично отморфлен. Морф самый примитивный - начало апи до условного ветвления переносится в буфер и разбавляется серией jmp/push/ret, при этом инструкции не морфятся(оригинальные). Тоесть начало апи скипается в буфер, поэтому точки останова не сработают. Из этих стабов возврат в тело апи по прямому адресу, те он не шифрован, а жёстко зашит в сами стабы. Поэтому восстановить импорт не проблема, каждую апи можно восстановить по указателю из стаба в её тело, причём так как блок до ветвления, то можно просто вниз адреса листать до совпадения адреса с экспортом.



Может в полной версии как то иначе хз. Варю детектит, можно посмотреть как именно.

| Сообщение посчитали полезным: SDK, Rainbow



Ранг: 111.0 (ветеран)
Статус: Участник

Создано: 5 августа 2019 16:10 New!
Цитата · Личное сообщение · #7

Это разрез пакованного демо-версией калькулятора/блокнота ? Или это сам прот, накрытый собой же но функциональным ? Какая версия ?


Ранг: 316.1 (мудрец)
Статус: Участник

Создано: 5 августа 2019 17:23 New!
Цитата · Личное сообщение · #8

Rainbow

Тестовый бинарь, 2.1

Интересно как варю палит, я пока не понял. Три раза вызывается cpuid: f(0), 2xf(1). Если подменить результат для второй функции, то всё равно палит. rdtsc не использует. Из системных инструкций sldt, но она под варей корректно работает.

Добавлено спустя 1 час 25 минут
Всё проще оказалось, никаких там интересных техник нет, тупо обьекты открывает:

Code:
  1. SLDT
  2. NtOpenEvent("VMwareDnDManagerEvent")
  3. NtCreateMutant("VMwareGuestDnDDataMutex")
  4. NtCreateMutant("Local\VMToolsHookQueueLock")


Если их пройти, то варю не палит.
 eXeL@B —› Протекторы —› PELock 2.xx

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS