SD Protector - кто расскажет об этом звере?

Сейчас на форуме: rtsgreg1989, zds, _MBK_ (+5 невидимых)

Посл.ответ	Сообщение
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 05 января 2008 11:59 · Личное сообщение · #1 нашёл интересную программку. пейд выдаёт, что ничем не пакована (Microsoft Visual C++), однако есть интересные секции - SDPC и SDPD - собственно это "позывные" сабжа. и ещё trial reset опознал его. китайский анпакер этого зверя у меня вообще не запускается, а туторов по распаковке нигде не нашёл. вот сама прога: www.codeoperator.com/downloads/PlugAdminSetup.exe ----- Do Not Get Mad Get Money! ;)

pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 05 января 2008 12:16 · Поправил: pavka · Личное сообщение · #2 по SDprotector v1.12 [url=http://www.reversing.be/article.php?story=20060731190606456&query =SD%2BProtector ]http://www.reversing.be/article.php?story=20060731190606456&query=SD% 2 BProtector [/url] [url=http://www.reversing.be/article.php?story=20050220224016407&query =SD%2BProtector ]http://www.reversing.be/article.php?story=20050220224016407&query=SD% 2 BProtector [/url] и у китайцев несколько туторов есть P.S ни всамом проте ни в прогах им упакованых секций таких не видел ;)
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 05 января 2008 12:35 · Личное сообщение · #3 ну, я когда увидел SDPC, то сразу на ум пришёл сабж... ----- Do Not Get Mad Get Money! ;)
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 07 января 2008 10:24 · Личное сообщение · #4 Talula посмотрел точно глукалово SD Protector Хз. сампрога у меня падает оеп чистое 004A1C3B 6A 74 PUSH 74 004A1C3D 68 D8DB4E00 PUSH PlugAdmi.004EDBD8 004A1C42 E8 65050000 CALL PlugAdmi.004A21AC 004A1C47 33DB XOR EBX,EBX 004A1C49 895D E0 MOV DWORD PTR SS:[EBP-20],EBX 004A1C4C 53 PUSH EBX 004A1C4D 8B3D 38624B00 MOV EDI,DWORD PTR DS:[4B6238] ; kernel32.GetModuleHandleA 004A1C53 FFD7 CALL EDI 004A1C55 66:8138 4D5A CMP WORD PTR DS:[EAX],5A4D 004A1C5A 75 1F JNZ SHORT PlugAdmi.004A1C7B 004A1C5C 8B48 3C MOV ECX,DWORD PTR DS:[EAX+3C] 004A1C5F 03C8 ADD ECX,EAX 004A1C61 8139 50450000 CMP DWORD PTR DS:[ECX],4550 004A1C67 75 12 JNZ SHORT PlugAdmi.004A1C7B 004A1C69 0FB741 18 MOVZX EAX,WORD PTR DS:[ECX+18] 004A1C6D 3D 0B010000 CMP EAX,10B 004A1C72 74 1F JE SHORT PlugAdmi.004A1C93 004A1C74 3D 0B020000 CMP EAX,20B 004A1C79 74 05 JE SHORT PlugAdmi.004A1C80 004A1C7B 895D E4 MOV DWORD PTR SS:[EBP-1C],EBX 004A1C7E EB 27 JMP SHORT PlugAdmi.004A1CA7 004A1C80 83B9 84000000 0E CMP DWORD PTR DS:[ECX+84],0E 004A1C87 ^ 76 F2 JBE SHORT PlugAdmi.004A1C7B 004A1C89 33C0 XOR EAX,EAX 004A1C8B 3999 F8000000 CMP DWORD PTR DS:[ECX+F8],EBX 004A1C91 EB 0E JMP SHORT PlugAdmi.004A1CA1 004A1C93 8379 74 0E CMP DWORD PTR DS:[ECX+74],0E 004A1C97 ^ 76 E2 JBE SHORT PlugAdmi.004A1C7B 004A1C99 33C0 XOR EAX,EAX 004A1C9B 3999 E8000000 CMP DWORD PTR DS:[ECX+E8],EBX 004A1CA1 0F95C0 SETNE AL 004A1CA4 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX 004A1CA7 895D FC MOV DWORD PTR SS:[EBP-4],EBX 004A1CAA 6A 02 PUSH 2 004A1CAC FF15 14634B00 CALL DWORD PTR DS:[4B6314] ; MSVCR71.__set_app_type 004A1CB2 59 POP ECX 004A1CB3 830D 14D15100 FF OR DWORD PTR DS:[51D114],FFFFFFFF 004A1CBA 830D 18D15100 FF OR DWORD PTR DS:[51D118],FFFFFFFF 004A1CC1 FF15 10634B00 CALL DWORD PTR DS:[4B6310] ; MSVCR71.__p__fmode 004A1CC7 8B0D 0CD15100 MOV ECX,DWORD PTR DS:[51D10C] 004A1CCD 8908 MOV DWORD PTR DS:[EAX],ECX 004A1CCF FF15 0C634B00 CALL DWORD PTR DS:[4B630C] ; MSVCR71.__p__commode 004A1CD5 8B0D 08D15100 MOV ECX,DWORD PTR DS:[51D108] 004A1CDB 8908 MOV DWORD PTR DS:[EAX],ECX 004A1CDD A1 08634B00 MOV EAX,DWORD PTR DS:[4B6308] 004A1CE2 8B00 MOV EAX,DWORD PTR DS:[EAX] 004A1CE4 A3 10D15100 MOV DWORD PTR DS:[51D110],EAX 004A1CE9 E8 1C050000 CALL PlugAdmi.004A220A 004A1CEE E8 B7050000 CALL PlugAdmi.004A22AA 004A1CF3 391D A07A5000 CMP DWORD PTR DS:[507AA0],EBX 004A1CF9 75 0C JNZ SHORT PlugAdmi.004A1D07 004A1CFB 68 AA224A00 PUSH PlugAdmi.004A22AA 004A1D00 FF15 04634B00 CALL DWORD PTR DS:[4B6304] ; MSVCR71.__setusermatherr 004A1D06 59 POP ECX 004A1D07 E8 8C050000 CALL PlugAdmi.004A2298 004A1D0C 68 1CE84F00 PUSH PlugAdmi.004FE81C 004A1D11 68 18E84F00 PUSH PlugAdmi.004FE818 004A1D16 E8 77050000 CALL PlugAdmi.004A2292 ; JMP to MSVCR71._initterm 004A1D1B 68 4E224A00 PUSH PlugAdmi.004A224E 004A1D20 E8 B7FDFFFF CALL PlugAdmi.004A1ADC 004A1D25 A1 04D15100 MOV EAX,DWORD PTR DS:[51D104] 004A1D2A 8945 D8 MOV DWORD PTR SS:[EBP-28],EAX 004A1D2D 8D45 D8 LEA EAX,DWORD PTR SS:[EBP-28] 004A1D30 50 PUSH EAX 004A1D31 FF35 00D15100 PUSH DWORD PTR DS:[51D100] 004A1D37 8D45 D0 LEA EAX,DWORD PTR SS:[EBP-30] 004A1D3A 50 PUSH EAX 004A1D3B 8D45 CC LEA EAX,DWORD PTR SS:[EBP-34] 004A1D3E 50 PUSH EAX 004A1D3F 8D45 C8 LEA EAX,DWORD PTR SS:[EBP-38] 004A1D42 50 PUSH EAX 004A1D43 FF15 FC624B00 CALL DWORD PTR DS:[4B62FC] ; MSVCR71.__getmainargs 004A1D49 83C4 20 ADD ESP,20 импорт не силно покоцан b6f3_06.01.2008_CRACKLAB.rU.tgz - tree.txt
Amok Ранг: 35.1 (посетитель) Активность: 0.02↘0 Статус: Участник	Создано: 07 января 2008 10:46 · Поправил: Amok · Личное сообщение · #5 pavka Как ты на ОЕР выскочил? Я застрял на том месте где прога запускает сама себя через CreateProcessA, а потом сразу ExitProcess. Кстати пока методом тыка выставлял галочки в фантоме, протектор раз пять запалил отладчик и похоже где-то в реестре сделал пометку, потому что теперь прога не запускается даже без отладчика.
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 07 января 2008 17:30 · Личное сообщение · #6 Amok можешь взять скрипт haggar ,если юзать фантом повыкини из скрипта антотладку что дублируется фантомом
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 07 января 2008 20:02 · Личное сообщение · #7 Talula Там криптованый кусок 0040CCCD E8 4271D4FF CALL 00153E14 0040CCD2 EB 11 JMP SHORT Dumped_.0040CCE5 0040CCD4 0D 000000E8 OR EAX,E8000000 0040CCD9 0107 ADD DWORD PTR DS:[EDI],EAX 0040CCDB 45 INC EBP 0040CCDC 0000 ADD BYTE PTR DS:[EAX],AL 0040CCDE 0000 ADD BYTE PTR DS:[EAX],AL 0040CCE0 0000 ADD BYTE PTR DS:[EAX],AL 0040CCE2 0000 ADD BYTE PTR DS:[EAX],AL 0040CCE4 E8 DB1E0464 CALL 6444EBC4 0040CCE9 D255 6D RCL BYTE PTR SS:[EBP+6D],CL 0040CCEC 2D D3B7ACAB SUB EAX,ABACB7D3 0040CCF1 C2 E822 RETN 22E8 0040CCF4 ^ 71 D4 JNO SHORT Dumped_.0040CCCA 0040CCF6 FFEB JMP FAR EBX ; Illegal use of register 0040CCF8 110D 0000006F ADC DWORD PTR DS:[6F000000],ECX 0040CCFE 0108 ADD DWORD PTR DS:[EAX],ECX 0040CD00 45 INC EBP 0040CD01 0000 ADD BYTE PTR DS:[EAX],AL 0040CD03 0000 ADD BYTE PTR DS:[EAX],AL 0040CD05 0000 ADD BYTE PTR DS:[EAX],AL 0040CD07 0000 ADD BYTE PTR DS:[EAX],AL 0040CD09 E8 8B0DF484 CALL 8534DA99 0040CD0E 50 PUSH EAX 0040CD0F 0053 51 ADD BYTE PTR DS:[EBX+51],DL А у меня в этом месте оригинал падает требует какой то файл и грохается Ну и дамп сответственно сплаш, окошко основное и та же фигня..
inf1kek Ранг: 95.2 (постоянный), 26thx Активность: 0.06↘0 Статус: Участник	Создано: 08 января 2008 03:04 · Поправил: inf1kek · Личное сообщение · #8 del
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 08 января 2008 08:17 · Личное сообщение · #9 pavka, эта прога скорее всего как и их плагины требует pluggo runtime от cycling74... огромное спасибо за инфу! только проторезвел - сегодня буду пробовать... ----- Do Not Get Mad Get Money! ;)
Spirit Ранг: 271.6 (наставник), 2thx Активность: 0.3↘0 Статус: Участник	Создано: 08 января 2008 10:30 · Личное сообщение · #10 Бойан канечно, но мож поможет... Плагин для импрека от версии SD1.12 40d2_07.01.2008_CRACKLAB.rU.tgz - SDProtector 1.12.dll ----- iNTERNATiONAL CoDE CReW
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 08 января 2008 11:08 · Личное сообщение · #11 я только пока не понимаю, про пошифрованный кусок - наф он там нужен?... там из ограничений только протовский 30-дневный триал... ----- Do Not Get Mad Get Money! ;)
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 08 января 2008 13:06 · Личное сообщение · #12 Spirit пишет: Плагин для импрека от версии SD1.12 плуг на фиг не нужен там импрек на трапфлаге все отресольвит там переходники проще не куда Talula Держи дамп вроде все покриптованые куски восстановил, вроде запускается кнопки нажимаются че прога делает не знаю потестить не могу ;) Дальше сам разберешься rapidshare.com/files/82169094/PlugAdminU_.rar
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 08 января 2008 13:08 · Личное сообщение · #13 Amok пишет: похоже где-то в реестре сделал пометку, потому что теперь прога не запускается даже без отладчика. Убери из темпа екзешник будет снова запускаться
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 08 января 2008 17:41 · Поправил: Talula · Личное сообщение · #14 pavka, спасибки! pavka пишет: Дальше сам разберешься запускается и закрывается... ты это имел ввиду, надеюсь? или это из-за убитого мною триала? ----- Do Not Get Mad Get Money! ;)
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 08 января 2008 18:33 · Личное сообщение · #15 Talula пишет: запускается и закрывается... ты это имел ввиду, надеюсь? Ну да запускаеться закрывается вроде кнопки все работают . Чего прога делает я не знаю и нафиг она нужна то же ;) Если желание есть могу показать простой способ распаковки для это проги ;)
Talula Ранг: 213.0 (наставник), 4thx Активность: 0.22↘0 Статус: Участник Тот ещё Lamer	Создано: 08 января 2008 18:44 · Личное сообщение · #16 pavka, эм... за способ спасибо - покажи и я буду счастлив... =) но она у меня сразу закрывается после заставки... сама... я триал убил, а триал ресет не помогает... специально для этого дела юзверя создал, а запись с реестра не удаляется =( я там в ольке прошёлся до момента, когда она слетает... похоже пошифрованного там много - код только в путь меняется... там, короче, ret в одном месте "не знает" куда ему вернуться... хреново, сцуко всё... ----- Do Not Get Mad Get Money! ;)
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 08 января 2008 19:13 · Личное сообщение · #17 Talula пишет: я триал убил, а триал ресет не помогает. Там триал не прота У меня нормально запускается сплаш, потом наг что 30 дней Попробуй от сплаша пройдись по процедуре там его можно отключить и там вся бодяга с триалом,регистрацией Распаковка : Там в папке валяется MSVCR71.dll открой в Hiew найди в экспорте функу __set_app_type перейди на начало и вбей EBFE сохрани запомни байты и запускай прогу как курсор просигналит атачся олькой все ты можно сказать в самом хорошем месте ;)ставь eip 004A1C3B 00153E00 - E9 D14A5200 JMP PlugAdmi.006788D6 <--------декрипт 00153E05 - E9 EA495200 JMP PlugAdmi.006787F4 <---------крипт 00153E0A - E9 C74A5200 JMP PlugAdmi.006788D6 00153E0F - E9 E0495200 JMP PlugAdmi.006787F4 00153E14 - E9 BD4A5200 JMP PlugAdmi.006788D6 00153E19 - E9 D6495200 JMP PlugAdmi.006787F4 00153E1E - E9 B34A5200 JMP PlugAdmi.006788D6 00153E23 - E9 CC495200 JMP PlugAdmi.006787F4 00153E28 - E9 A94A5200 JMP PlugAdmi.006788D6 00153E2D - E9 C2495200 JMP PlugAdmi.006787F4 0040AFDB E8 208ED4FF CALL 00153E00 0040AFE0 EB 11 JMP SHORT PlugAdmi.0040AFF3 0040AFE2 8001 00 ADD BYTE PTR DS:[ECX],0 0040B7DE E8 2786D4FF CALL 00153E0A 0040B7E3 EB 11 JMP SHORT PlugAdmi.0040B7F6 0040CD70 E8 A970D4FF CALL 00153E1E 0040CD75 EB 11 JMP SHORT PlugAdmi.0040CD88 0040CD77 0906 OR DWORD PTR DS:[ESI],EAX 004139CF E8 5404D4FF CALL 00153E28 004139D4 EB 11 JMP SHORT PlugAdmi.004139E7 004139D6 06 PUSH ES 004139D7 0300 ADD EAX,DWORD PTR DS:[EAX] 004139D9 00E9 ADD CL,CH 004139DB 0107 ADD DWORD PTR DS:[EDI],EAX декриптуешь процедуру крипт просто заливаешь нопами потом импрек то что не определилось отресольвится на трапфлаге или можешь простеньким скриптом там переходники типа простая арифметика 00155DEA B8 186AE1B3 MOV EAX,B3E16A18 00155DEF 9C PUSHFD 00155DF0 2D DEE70D3C SUB EAX,3C0DE7DE 00155DF5 9D POPFD 00155DF6 50 PUSH EAX 00155DF7 C3 RETN и все делаешь дамп и прикручиваешь импорт

Для печати