собственно второй день трейсю прогу-декомпиль файлов скриптового языка, прога консольная на входе получает имя файла, который необходимо декомпилить, на выходе декомпилированый файл, прикол в том что она имеет ограничение восстанавливает 2/3 первой функции, для остальных функций выводит только переменные:

к примеру после декомпилирования такого примера:

double gd4C = 999.0;

int start()
{
gd4C = gd4C + 1;
gd4C = gd4C + 2;
gd4C = gd4C + gd4C;
}

получаешь:

// ex4 file id: 8303DD3B

#property library

double gd4C = 999.0;

int start()
{

/* !!! block begin */
gd4C = (gd4C + 1.0);
gd4C = (gd4C + 2.0);
// demo limitation, visit site to get FULL decompiler version
}

накопал функцию в которой происходит декомпиляция: 004294DA, а дальше тупик... как найти место в котором определяется что уже 2/3 и дальше не декомпилировать?

вот программка(распакованая, в конце падает, но файл создается)
rapidshare.com/files/127655041/dumped_.rar (~800кб)

в аттаче компилированный пример(исходник которого выше)

8f86_07.07.2008_CRACKLAB.rU.tgz - compiled.rar

| Сообщение посчитали полезным:

IHateWindows
выложил бы нераспаковыную, то что ты сдампил у меня даже не запускается, и вряд ли у многих других запустится...

| Сообщение посчитали полезным:

окэй, без проблем 540кб:
www.mediafire.com/?dmgkxhddltb

| Сообщение посчитали полезным:

IHateWindows
взглянул поверхностно, похоже ковырять нужно на 00428B0F, там похоже вызовы через стек и регистры. если вечером будет время и настроение попробую расковырять

| Сообщение посчитали полезным:

drin
ага, дошел туда тоже, но там что-то странное у меня Olly в некоторых местах даже после analyse не преобразовывает в читабельный код... хз пока как расковырять... ковыряем дальше

| Сообщение посчитали полезным:

Меня вот больше интересует че за прот весит там?! С импортом замес + с важным куском кода аналогичная картина. Аналезировать в ручную подобную кашу чето проблематично

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
пля. я вообще не одну функцию понять не смог
в армадилине импорт и то проще...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Кстати, забавно, если засунуть в автоанпакер, то он его распакует. Строки появляются, а с импортом все равно, беда.

| Сообщение посчитали полезным:

а вот еще. он ч0 использует рса для импорта? О_О
там фгинт по странному заюзон...

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Импорт там не очень сложный. Павка может и скрипт написал-бы.
Как минимум, 2 функции используют отвратительную ВМ с 256 опкодами. Зашифрованная таблица переходов ВМ находится по адресу 42FADC. Была бы "мотивация", можно потратить пару-тройку вечеров и эту кашу разобрать. А так - лениво..

| Сообщение посчитали полезным:

Раз заинтересовал анпаканый файл-анпакнул и залил сюда rapidshare.com/files/128136923/tst.rar.html Лишние секции не отрезал и особо на работоспособность не тестил, посему могут быть и косячки

| Сообщение посчитали полезным:

@Archer: Секции с ВМ стёрты с PE header, поэтому exe запускается, но нечего не делает. Но импорт красиво исправлен!
Вечером могу загрузить нормальный файл.

| Сообщение посчитали полезным:

Archer
Расказал бы как импорт востанавливал

И кто вкурсе че за прот?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Секции должны быть на месте все, ехе был переразбит на секции заново, но все данные должны остаться на месте. А почему ничего не делает-шут его знает. Если б знал, как и на чём потестить-проверил бы перед выкладыванием Импорт, как и вся распаковка, впрочем, восстановлены были полностью на автомате, тулзой, про которую я отписался в теме про QuickUnpack перед закрытием темы. А что за прот-не знаю, раньше не видел, вроде.

| Сообщение посчитали полезным:

Archer
почему не делает? делает... создает файл с декомпиленной частью функции как положено...
тестится легко: скачиваешь и распаковываешь аттач, и собственно запускаешь программу с аругментом-именем файла в аттаче, он должен создать декомпилированый файл(частично из-за ограничений)...

мда... протектор интересный и так как все как один идентификаторы файлов кричат @nothing found@ можно предположить что это какой-то самописный прот...

| Сообщение посчитали полезным:

Archer
Твой пост проглядел в тему про КУ. Обидно за твою тулзу и заодно заинтриговал с другой тулзой

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ну вульф сказал, что не делает, я так и написал. Хотя по моим прикидкам должна быть полностью работоспособна. Прот, может, павка скажет, потыкайте его, он их больше меня смотрел. В принципе так ли важно название... Ну ушла КУ за ненадобностью, бывает и такое... Ладно, с оффтопом заканчиваем.

| Сообщение посчитали полезным:

И лоадер (распаковщик) и сама программа писаны на KOLе и покрыты виртуальной стековой машиной на 54 хэндла.
Хэндлы вида:
vmHandle_004_083_195: ; 518192h
mov dx, [ebp+0] ; !!!
mov ax, [ebp+2] ; !!!
sub ebp, 4 ; !!!
mul dx
mov [ebp+4], dx ; !!!
mov [ebp+6], ax ; !!!
pushf ; !!!
pop dword ptr [ebp+0] ; !!!
jmp NextOpcode

мешают работе замеры времени и проверка целостности

vmHandle_149_180_223: ; 5173E0h
rdtsc ; !!!
sub ebp, 8 ; !!!
mov [ebp+0], edx ; !!!
mov [ebp+4], eax ; !!!
jmp NextOpcode

vmHandle_036_243_252: ; 516238h
mov edx, [ebp+0] ; !!!
add ebp, 4 ; !!!
sub eax, eax ; !!!
LABEL:
movzx ecx, byte ptr [edx] ; !!!
shl eax, 4 ; !!!
add eax, ecx ; !!!
mov ecx, eax ; !!!
and ecx, 0F0000000h ; !!!
mov edx, ecx ; !!!
shr edx, 18h ; !!!
xor eax, edx ; !!!
xor eax, ecx ; !!!
inc edx ; !!!
dec dword ptr [ebp+0] ; !!!
jnz LABEL ; !!!
mov [ebp+0], eax ; !!!
jmp NextOpcode

что приводит к доступу к несуществующей памяти
Виртуальная машина одна и та же в лоадере и в основной программе.
Участков накрытых ВМ очень много в лоадере под сотню.
В основной части счет уже идет на многие сотни.
В атаче участки в лоадере (получены скриптом прямо в ИДЕ).
Вся система лицензирования и распаковки сообщений построена на коловском FGIntRSA.
Система лицензирования построена на распаковку одного файла по ID (стоит это удовольствие $99) или на полную распаковку ($999).
Просят не малые деньги, а продукт совсем сырой. При попытке декомпильнуть любой продукт с сайта
forex-soft.netfirms.com/catalog.htm получены множественные "Unknown bytecode $2D!", "More than one root block".
И дело не в отсутствии лицензии. Программа сначало декомпилит полностью, а потом усекает со вставкой месаги.


5067_19.07.2008_CRACKLAB.rU.tgz - VMout.rar

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Есть ещё один декомпиль ex4 по размеру больше чем этот в топике. Хотя ограничения одинаковые.
rapidshare.com/files/130873466/_ex4_to_mq4_demo.rar.html
Особо пока не смотрел его.

Посмотрел несколько файлов с forex-soft.netfirms.com. Начало вроде все коректно обрабатывает

| Сообщение посчитали полезным:

Лоооол! На www.mediafire.com/?dmgkxhddltb навешан реально VMProtect(фулка(скорее всего самой последней версии)) – VM точно его, если я не прав убейте мну я непротефф %))
смотрел около пары минут, ибо мну не интересно уже

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

Посмотрел VMProtect 1.64 Demo - таки да код хэндлов опкодов тот-же. Значит точно VMProtect. Только в режиме демо ограничений, в частности виртуализации (без мутации) выглядит вообще по детски. Все обработчики опкодов открыты. Разве что таблица связи опкодов с обработчиками другая, и некоторіе обработчики другие. Тем не менее какая бы крутая навесная защита не была бы - все зависит от квалификации юзера защиты. В данном случае есть бага которая позволяет зарегать full. И дальше вылазят края (Error message) самой проги.

ЗЫ: на _ex4_to_mq4_demo тоже навешен VMProtect.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Уй-ёёё... Мужики, в финале то что? Кто-нить разобрал этот декомпиль, чтоб нормально работал?

| Сообщение посчитали полезным:

и полный рег сделал
и автору отписал об ошибках "Unknown bytecode $2D!", "More than one root block"
и автор пофиксил.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB
Может статейку напишешь по разбору или флеш-мувик, по аналогии, с RSI? Думаю за такой не фуфловый материал многие будут оч благодарны.

| Сообщение посчитали полезным:

Мувить нечего, там VMProtect криво был использован и рег ключ практически в открытом виде хранится.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

Нароооод!! Ау!! Люди!!! Вопрос в лоб: можете ее отучить "усекать со вставкой мессаги"?

| Сообщение посчитали полезным:

вот слегка анпакнутая полная 4.0.2.17.1 версия (purebeam.biz)
[url=http://rapidshare.com/files/144638332/17-1.zip
]http://rapidshare.com/files/144638332/17-1.zip
[/url]
работает 1раз 1файл
может кто-нить скрипт для восстановления импорта напишет

| Сообщение посчитали полезным:

версия 17.1 чего??

тот декомпиль, что в начале топика с сайта www.getmysources.com/ и текущая его версия 1.0.33.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

фирма другая - но прот и назначение те же

| Сообщение посчитали полезным:

хм, что-то не хочет работать...

| Сообщение посчитали полезным: