TheBat.Unpack.Themida

Сейчас на форуме: Magister Yoda (+3 невидимых)

Посл.ответ	Сообщение
depler Ранг: 247.7 (наставник), 3thx Активность: 0.16↘0 Статус: Участник Халявщик	Создано: 22 декабря 2008 21:37 · Личное сообщение · #1 Чето не нашел старой темы Вышла новая версия 4.1.3 www.ritlabs.com/download/files3/the_bat/thebat_rus_4-1-3.msi У пакована... правильно темидой теперь версия 2.0.5.0, попробовал старый скрипт, который помойму выкладывал RSI, часть импорта восстановилась, остальное - в говно. Кто нить копал? 3ac3_22.12.2008_CRACKLAB.rU.tgz - Themida1.osc ----- Лень - это подсознательная мудрость

ManHunter Ранг: 104.9 (ветеран), 46thx Активность: 0.04↘0.02 Статус: Участник	Создано: 22 декабря 2008 22:06 · Личное сообщение · #2 На руборде распакованная выложена
depler Ранг: 247.7 (наставник), 3thx Активность: 0.16↘0 Статус: Участник Халявщик	Создано: 22 декабря 2008 22:17 · Личное сообщение · #3 чето руборд лежит... дай ссыль оттуда ----- Лень - это подсознательная мудрость
ManHunter Ранг: 104.9 (ветеран), 46thx Активность: 0.04↘0.02 Статус: Участник	Создано: 22 декабря 2008 22:26 · Личное сообщение · #4 rapidshare.com/files/175510475/tb413final.rar пароль: ru-board
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 22 декабря 2008 22:55 · Личное сообщение · #5 мля уже не надо. Не буду делать дальше .. кому надо сдампленый файл + с импортом прикрученым и импорт тут в тексте, не все сделано , так что косяки есть rapidshare.de/files/41191718/bob.7z.html оеп тут Code: 004084C9 A3 EC77C700 MOV DWORD PTR DS:[C777EC],EAX 004084CE 6A 00 PUSH 0 004084D0 E8 2BFFFFFF CALL 00408400 ; JMP to kernel32.GetModuleHandleA 004084D5 A3 F887DB00 MOV DWORD PTR DS:[DB87F8],EAX 004084DA A1 F887DB00 MOV EAX,DWORD PTR DS:[DB87F8] 004084DF A3 F877C700 MOV DWORD PTR DS:[C777F8],EAX 004084E4 33C0 XOR EAX,EAX 004084E6 A3 FC77C700 MOV DWORD PTR DS:[C777FC],EAX 004084EB 33C0 XOR EAX,EAX 004084ED A3 0078C700 MOV DWORD PTR DS:[C77800],EAX 004084F2 E8 C1FFFFFF CALL 004084B8 004084F7 BA F477C700 MOV EDX,00C777F4 004084FC 8BC3 MOV EAX,EBX 004084FE E8 B1D2FFFF CALL 004057B4 00408503 5B POP EBX 00408504 C3 RET ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 22 декабря 2008 23:06 · Личное сообщение · #6 блин не заметил и сразу импорт доделал вот более полный , 2 функи не распознались только , к дампу не прикручивал не знаю пока c0f6_22.12.2008_CRACKLAB.rU.tgz - tree.txt ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
depler Ранг: 247.7 (наставник), 3thx Активность: 0.16↘0 Статус: Участник Халявщик	Создано: 22 декабря 2008 23:52 · Поправил: depler · Личное сообщение · #7 mak ты вообще откуда эти данные взял??? ИМХО вот OEP: Code: 00C76E00 55 PUSH EBP 00C76E01 8BEC MOV EBP,ESP 00C76E03 83C4 F0 ADD ESP,-10 00C76E06 B8 881BC700 MOV EAX,thebat.00C71B88 00C76E0B E8 B41679FF CALL thebat.004084C4 00C76E10 E8 9FA9FFFF CALL thebat.00C717B4 00C76E15 E8 86EB78FF CALL thebat.004059A0 Дык а скрипт чем иат восстанавливал? ----- Лень - это подсознательная мудрость
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 23 декабря 2008 00:05 · Личное сообщение · #8 я соврал .. там еще много видимо, вот более лучший вариант , грузится в олю свободно. Пойду отдыхать) только не устраивайте тут скандалов ! www.onlinedisk.ru/file/55004 ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
mak Ранг: 673.3 (! !), 400thx Активность: 0.4↘0.31 Статус: Участник CyberMonk	Создано: 23 декабря 2008 00:24 · Личное сообщение · #9 depler с отладчика взял , скрипт в приложении bf89_22.12.2008_CRACKLAB.rU.tgz - TMD.txt ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube
depler Ранг: 247.7 (наставник), 3thx Активность: 0.16↘0 Статус: Участник Халявщик	Создано: 23 декабря 2008 01:01 · Личное сообщение · #10 Вобщем я распаковал так: 1. Запустил скрипт 2. Сдампил файл с того места где скрипт отстановился 3. Привинтил импорт ImpRec? указав OEP=00876E00 Запускаю, патчу, вставляю ключ из кигена - пишет типа он для версий до 4.1, ща буду дальше копать... ----- Лень - это подсознательная мудрость
ManHunter Ранг: 104.9 (ветеран), 46thx Активность: 0.04↘0.02 Статус: Участник	Создано: 23 декабря 2008 01:53 · Поправил: ManHunter · Личное сообщение · #11 depler поменяй в ресурсах версию файла и не мучайся молдаване в своем стиле - очередной финал 4.1.5 распакованный и пропатченный под кейген exe: rapidshare.com/files/175917684/TheBat.4.1.5.Final.zip.html
depler Ранг: 247.7 (наставник), 3thx Активность: 0.16↘0 Статус: Участник Халявщик	Создано: 23 декабря 2008 08:20 · Личное сообщение · #12 ManHunter Оно то конечно хорошо, но написана будет старая версия, да и хз на еще это влияет ----- Лень - это подсознательная мудрость
ManHunter Ранг: 104.9 (ветеран), 46thx Активность: 0.04↘0.02 Статус: Участник	Создано: 23 декабря 2008 16:56 · Личное сообщение · #13 depler А то, что от файла отодрали протектор, пропатчили вдоль и поперек, это как бы в порядке вещей? )) По сравнению с этим изнасилованием замена версии в ресурсах вообще ни на что не влияет depler пишет: Оно то конечно хорошо, но написана будет старая версия Поставь пробел перед новой версией, будет визуально незаметно, а эффект тот же самый.
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 22 января 2009 02:05 · Личное сообщение · #14 Темида, прот конечно крутой, но вот сегодня заметил прикол, что триал на самом последнем на сегодня TheBat! 4.9.1 обнуляется после чистки реестра старой-доброй утилитой TuneUP2007 (один ключ вида {xxxxxxxx-BD94-11D0-8A23-00AA00B58E10}, предназначенной именно для чистки. А вот последние TrashReg и Trial-Reset не берут. ----- продавец резиновых утёнков
ManHunter Ранг: 104.9 (ветеран), 46thx Активность: 0.04↘0.02 Статус: Участник	Создано: 22 января 2009 02:35 · Личное сообщение · #15 HiEndsoft пишет: А вот последние TrashReg и Trial-Reset не берут. Они и не должны брать, триал в TheBat не заявязан на навесном протекторе. Триальные счетчики хранятся в ветке [HKEY_CURRENT_USER\Software\RIT\The Bat!\Viewer] в ключах "Default_Value3" и "Req Sent 3"
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 22 января 2009 02:41 · Поправил: HiEndsoft · Личное сообщение · #16 В последнем бате, завязаны. И вообще,начиная с 4.0.х они живут в HKEY_CLASSES_ROOT\CLSID\{.............} TreatAs. После чего написал себе плагин к последней TheBat! .tbp, который без распаковки снимает триал нах. ----- продавец резиновых утёнков
alexas Ранг: 16.9 (новичок) Активность: 0.01↘0 Статус: Участник	Создано: 24 января 2009 00:40 · Личное сообщение · #17 HiEndsoft, а ты ниче не путаешь, случайно? Поставил я сегодня версию 4.1.11, ну то есть только что скачал с офсайта. Погонял ее в свое удовольствие и че? Никакого хитрого ключа в реестре в указанном тобой HKEY_CLASSES_ROOT\CLSID\ не обнаруживается, ну просто вообще никакого, не говоря уж о ключе вида {xxxxxxxx-BD94-11D0-8A23-00AA00B58E10}. А счетчик триала все еще в параметре Default_Value3, как и раньше. Как это объяснишь? Я вообще думаю, что у тебя какой-то плаг батовский этот ключик создает, проверь. ЗЫ А насчет номера версии 4.9.1, я так понимаю, это ты просто описАлся, да?
HiEndsoft Ранг: 237.0 (наставник), 20thx Активность: 0.13↘0 Статус: Участник sysenter	Создано: 24 января 2009 01:08 · Поправил: HiEndsoft · Личное сообщение · #18 Да 4.1.9-скачал 22.01.09, а 4.1.11 видать вчерашняя. Наверное эту ботву пофиксили, причем резво однако. А 4.1.9 можешь в инете поискать и посмотреть, если делать нечего. ----- продавец резиновых утёнков

Для печати