Ну, крайне-полезная тулза, рассказывать о работе которой не имеет смысла. Всегда запаковывалась аспром (вплоть до билда 215), который без труда снимался стрипером. Потом правилось ручками и всё работало. Начиная с билда 216 они упаковали его чем-то непонятным. Возможно самописный пакер (или на основе другого пакера), возможно какой-то очень редкий зверь. В принципе, файло спокойно лаодерится и даже инлайнится (если инлайн на дупе можно назвать инлайном), однако это не всегда работает. А именно: лоадер частенько не находит байты, а после применения патча первый запуск после загрузки системы или при долгом простое - прога закрывается.
Пытался анпакнуть. ОЕР вроде нашёл, но на импорте реконструктор тупо виснет. Квипанпак выкидывает комп в бсод. Хотя антиотладочных механизмов и прочей мути я не заметил...
Так чем они теперь пакуют сабж?
tamos.com/bitrix/redirect.php?event1=download&event2=smartwhois&event3=&goto=/files/sw4.zip

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

чем-то РеР напоминает...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

эм... я не думаю, что PeP позволил бы спокойно запускать себя под олькой, а потом ещё и инлайнить... мне сначало почему-то подумалось, что это Gleam... но тоже вряд ли...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula
запости стартовый код и секции посмотреть

| Сообщение посчитали полезным:

--> Распакованый <--
Вроде распаковал, но в коде явно какая то каша осталась, похоже на прот с маркерами.
ЗЫ: яхз чем была запакована.
ЗЫЫ: ваще то отдельный топик есть --> Link <--

pavka
007B2726 > 68 11B81BA9 push A91BB811
007B272B E8 D2B80F00 call sw.008AE002
007B2730 CB retf
007B2731 9A 11BA0585 349>call far 9834:8505BA11
007B2738 0D A7089938 or eax, 389908A7
007B273D B8 B981BC0C mov eax, 0CBC81B9
007B2742 BA 5D05C511 mov edx, 11C5055D
007B2747 3385 0F50EFAE xor eax, dword ptr ss:[ebp+AEEF500F]
007B274D F9 stc
007B274E CB retf
007B274F 95 xchg eax, ebp
007B2750 C741 57 0CEE0F0>mov dword ptr ds:[ecx+57], 0E0FEE0C
007B2757 91 xchg eax, ecx
007B2758 B3 50 mov bl, 50
007B275A D4 C6 aam 0C6

явно без полиморфа не обошлось.

Секции:
CODE 00401000 00621668 R W X . L para 0001 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF
DATA 00622000 00632768 R W . . L para 0002 public DATA 32 0000 0000 0001 FFFFFFFF FFFFFFFF
BSS 00633000 006399D5 R W . . L para 0003 public 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.idata 0063A000 0063DA6E R W . . L para 0004 public DATA 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.tls 0063E000 0063E01C R W . . L para 0005 public 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.rdata 0063F000 0063F200 R W . . L para 0006 public DATA 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.gla0 00640000 0066128C R W X . L para 0007 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.gla1 00703000 0071C7F2 R W X . L para 0008 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF
.gla2 0071D000 008B0A00 R W X . L para 0009 public CODE 32 0000 0000 0001 FFFFFFFF FFFFFFFF

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k, а можно технологию анпака? просто на эту версию мне плевать - она от прошлой сборки только упаковщиком отличается (все адреса в проге старые). а вот новую версию хочу нормальной распакованной выложить, а то слишком у многих лоадер работает через раз...
pavka, а сколько стартового кода надо? уже смотрю не надо...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula
Хард бряк на esp-4, топаешь по F9 до такого места:
008AF506 9C pushfd
008AF507 8D6424 38 lea esp, dword ptr ss:[esp+38]
008AF50B E9 E8050000 jmp sw.008AFAF8
008AF510 F6D0 not al
008AF512 8A02 mov al, byte ptr ds:[edx]
008AF514 60 pushad
008AF515 66:8945 00 mov word ptr ss:[ebp], ax
008AF519 C64424 08 5A mov byte ptr ss:[esp+8], 5A
008AF51E 9C pushfd
008AF51F C60424 45 mov byte ptr ss:[esp], 45
008AF523 8D6424 28 lea esp, dword ptr ss:[esp+28]

Далее руками трэйсить до:
00621490 55 push ebp
00621491 8BEC mov ebp, esp
00621493 83C4 EC add esp, -14
00621496 53 push ebx
00621497 33C0 xor eax, eax
00621499 8945 EC mov dword ptr ss:[ebp-14], eax
0062149C B8 A80A6200 mov eax, sw.00620AA8
006214A1 E8 265EDEFF call sw.004072CC
006214A6 33C0 xor eax, eax
006214A8 55 push ebp
006214A9 68 31166200 push sw.00621631
006214AE 64:FF30 push dword ptr fs:[eax]

Вроде бы ОЕП, дальше аттач к процессу из КУ и фул онпак.

ЗЫ: знаю не самый изящный метод распаковки))

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k
Спасибо . Надо качнуть посмотреть

| Сообщение посчитали полезным:

Какой то простой упаковщик, импорт не защищен вовсе, распаковывается элементарно, рекомендовал бы выкинуть неофициальные импреки ибо они к сожалению глюкалово, сам откатился на 1.6Final, на оеп можно через esp-4 вылезти через десяточек срабатываний.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
на оеп можно через esp-4 вылезти через десяточек срабатываний
через десяточек это врятли, придецо ручками потрэйсить все же

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k
специально посчитал, 13 бряков, останавливаемся на 00621491h, что на один байт ниже oep.

00621490 55 PUSH EBP
00621491 8BEC MOV EBP,ESP
00621493 83C4 EC ADD ESP,-14
00621496 53 PUSH EBX

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Читай мой пост выше как у меня получилось. У меня после пятого срабатывания просто прога запускаецо.
ЗЫ: а ваще ты прав, легкий прот, лучшеб аспр оставили))

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k, спасибо! я пытался по esp-4, но вот ручками видимо не там трейсил. КУ - QuickUnpack надо понимать?

v0id2k пишет:
ЗЫ: а ваще ты прав, легкий прот, лучшеб аспр оставили))

ну, так аспр снимается кем угодно при помощи стриппера, а тут... уже не каждый...

и всё-таки хотелось бы знать, что за зверь у них теперь на вооружении...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
я пытался по esp-4, но вот ручками видимо не там трейси
ставь хард бряк на 00621490, это и есть ОЕП
Talula пишет:
КУ - QuickUnpack надо понимать?
ога, он самый. Йа импреком уже давно не пользуюсь, имхо у ку механизм гораздо лучше
Talula пишет:
и всё-таки хотелось бы знать, что за зверь у них теперь на вооружении...
та вот не пофиг)) сняли и ладно

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
та вот не пофиг)) сняли и ладно
не в этом дело. если он не самописный, то хотелось бы себе такой в коллекцию. те же патчи паковать =)

кстати, почему в нём патчинга некотрые то срабатывают, то остаются прежними?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
кстати, почему в нём патчинга некотрые то срабатывают, то остаются прежними?
эээ, ты кажись какое то слово пропустил, йа ничего не понял)

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k, ещё в начале писал...
короче, делаю патч на дупе (типа, инлайн). патч запакованную прогу патчит - всё нормально. первый запуск. заголовки нормальные, но через пару секунд вылезает окошко, мол спасибо что потестил, триал закончен - не сработал переход. перезапускаешь - всё работает. после перезагрузки такая же фигня - первый запуск неудачный, остальные - работают...
почему переход - который должен быть безусловным несрабатывает? или это дуп так инлайнит?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula
Попробуй сам инлайн написать, без помощи дупа. И посмотри, будед норм инлайнить или нет

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

Или просто где-то еще осуществляется переход....

-----
The blood swap....

| Сообщение посчитали полезным:

v0id2k пишет:
ты прав, легкий прот
Так там основное обработаные VM процедуры весьма не хилой надо сказать

| Сообщение посчитали полезным:

pavka
йа особо внутрь не смотрел, так глянул увидел что каша есть какаято в коде, вм дак вм)
ЗЫ: пробовал разобрать?

-----
xchg dword [eax], eax

| Сообщение посчитали полезным:

v0id2k пишет:
пробовал разобрать?
Не пока не пробовал. Так просмотрел там на шару ловить не фиг надо серьезно присаживаться

| Сообщение посчитали полезным:

вм довольно немаленькая и похожа на какую то самописную, т.е. это явно не vmprotect и не codevirtualizer, причём забавно, что код вм лежит как в секции кода, так и в секции .gla0, сама таблица вм лежит в .gla1.

Добавлено: В общем разработчики выбросили якорь, вм навешана не по уму, так что взлом новой версии не сложней чем старой, и производится патчем двух байт.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

я не очень продвинут в распаковке протов, но это чудо мне все же распаковать удалось.
но опять таки, процес немного отличается от того, что написали v0id2k и Smon.
по hr esp-4 дойти до оеп никак не удалось. у меня после третего бряка прога запускается.
пробовал трейсить после этого:

008AF506 9C pushfd
008AF507 8D6424 38 lea esp, dword ptr ss:[esp+38]
008AF50B E9 E8050000 jmp sw.008AFAF8
008AF510 F6D0 not al
008AF512 8A02 mov al, byte ptr ds:[edx]
008AF514 60 pushad
008AF515 66:8945 00 mov word ptr ss:[ebp], ax
008AF519 C64424 08 5A mov byte ptr ss:[esp+8], 5A

ничего не получилось. ушел в бесконечный цикл.

тогда решил поити другим путем: после срабатывания последнего бряка на hr esp-4 поставил мемори бряк на секцию кода и оказался в таком месте:

0072175B AA STOS BYTE PTR ES:[EDI]
0072175C E9 A09E0000 JMP sw.0072B601
00721761 0000 ADD BYTE PTR DS:[EAX],AL
00721763 57 PUSH EDI
00721764 53 PUSH EBX
00721765 41 INC ECX
00721766 47 INC EDI
00721767 65:74 4C JE SHORT sw.007217B6 ; Superfluous prefix
0072176A 61 POPAD
0072176B 73 74 JNB SHORT sw.007217E1
0072176D 45 INC EBP
0072176E 72 72 JB SHORT sw.007217E2
00721770 6F OUTS DX,DWORD PTR ES:[EDI] ; I/O command
00721771 72 00 JB SHORT sw.00721773


после этого было еще одно срабатывание хардварного бряка. тогда снова поставил мемори брейкпоинт на секцию кода и оказался прямо на оеп.

00621490 55 PUSH EBP
00621491 8BEC MOV EBP,ESP
00621493 83C4 EC ADD ESP,-14
00621496 53 PUSH EBX
00621497 33C0 XOR EAX,EAX
00621499 8945 EC MOV DWORD PTR SS:[EBP-14],EAX
0062149C B8 A80A6200 MOV EAX,sw.00620AA8
006214A1 E8 265EDEFF CALL sw.004072CC

с импортом проблем не было.

теперь вопрос: какого черта у всех по разному получается?

| Сообщение посчитали полезным:

Simargl пишет:
с импортом проблем не было.
через импрек или по способу с QU?

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Talula пишет:
через импрек или по способу с QU?

с помощью QU. импрек у меня глохнет на этом чуде.

| Сообщение посчитали полезным:

и у меня глохнет... хотелось бы из принципа полностью ручного анпака... ладно, будем через QU делать...

-----
Do Not Get Mad Get Money! ;)

| Сообщение посчитали полезным:

Simargl пишет:
по hr esp-4 дойти до оеп никак не удалось. у меня после третего бряка прога запускается.
По ходу дела, зависит от билда OlyDbg. У меня же получилось.

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio пишет:
По ходу дела, зависит от билда OlyDbg. У меня же получилось.

неа, я тоже сначала так подумал и начал менять билды ольки. единственное чего удалось добиться таким способом, так только рандомного количества срабатывания бряка на hr esp-4 (от трех до девяти), но на оеп так и не попал . возможно дело в самом полиморфе... яхз...

| Сообщение посчитали полезным: