На последних прогах от Ulead стоит эта хрень. Вроде как версии 7.11. Раньше эта ботва создавала 3 файла .sw .loader .protected.
Но сейчас она довешивается на сам экзешник прилогается dll-ка с 1-й экспортируемой ф-цией (Softwrap.dll).

Моя проблема: эта хрень детектит олли, дайте кто способы детекта и защиты от них. Плагин IsDbgPrsent не помогает, прога от Alex и Mario тоже, т.е. мне кажется, что способ детекта универсальный. Причём прога ругается при простом запуске в олли, а если запустить с включённым олли запускается.

И я немогу при аттачится к ней. прога зависает. Никакие резьюмы не помогают

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx пишет:
прога от Alex и Mario тоже
хмм... что за прога ? %)

Styx пишет:
XtreamLok
никогда такого не видел, сколько прога весит ?

Styx пишет:
эта хрень детектит олли, дайте кто способы детекта и защиты от них
прогу смотреть надо... способов детекта олли много.

| Сообщение посчитали полезным:

Styx
Да я тож подвис в своё время на подобной...
Где то у меня валяется

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

насколько я знаю, Softwrap кейгенится...

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

gloom
Для регистрации она хочет в и-нете провериться, ессно после ввода некоторых рег. данных ввиде серийника и отзыва на него.
А так при поиске в гугле встречал много ссылок с упоминанием генератора лицензий, наверное что-то типа LM.

Mario555
Прога OllyHider/написана Alex-ом, а ты вроде как помогал ...
она там вроде всё про Олли в памти меняла.

PhotoImpact весит 84 Mb

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx пишет:
Прога OllyHider/написана Alex-ом, а ты вроде как помогал ...
гы, это вообще не то =) я писал прогу которая находила олли, а алекс написал этот хайдер для скрытия от той проги... врятли в этом XtreamLok именно такой способ обнаружения олли, а если и такой, то совсем не обязательно что искать будут строку "olly".

gloom пишет:
PhotoImpact весит 84 Mb
ого %)

| Сообщение посчитали полезным:

Mario555
я на dvd от хакера взял.
Слушай подкинь может несколько идей про детект. Я открываю прогу в олли запускаю с отключёнными сингл степ брей (других эксепшенов нет) и он грит может дебагер а может целостность кода.
И почему прога может виснуть при аттаче к процессу?

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

Styx пишет:
Слушай подкинь может несколько идей про детект
дык говорю же много способов... может там просто проверка вермени трейса или типа того...

Styx пишет:
И почему прога может виснуть при аттаче к процессу?
тоесть олли виснет при аттаче ?

Styx пишет:
Плагин IsDbgPrsent
лучше hidedebugger, там лучше защита.

| Сообщение посчитали полезным:

Xlock - применяет технику бегущей строки. Прикольно тебе будет
Кстати, Xlock будет описана в третьих упаковщиках. Уже главу накатал...

| Сообщение посчитали полезным:

а какая-нить небольшая прога с ним есть ? или сам пакер где скачать ?

| Сообщение посчитали полезным:

без понятия...
мне по блату подогнали программку на разбор полетов...
а где в сети достать- это редкий зверь

| Сообщение посчитали полезным:

volodya
а что за техника такая?

-----
Crack your mind, save the planet

| Сообщение посчитали полезным:

а это наверно смесь техник крадущегося тигра и пьяной обезъяны =)

| Сообщение посчитали полезным:

имхо параллельная распаковка последующего и упаковка предыдущего кода =)

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

На самом деле xloc это совсем не страшный зверь - больше двух лет назад я написал к нему распаковщик, и он до сих пор работает - последний раз я его правил после выхода sp2 к XP - им пришлось добавить VirtualProtect чтобы код на стэке выполнялся, тоесть мне пришлось протсо передвинуть первую сигнатуру на десяток байт
Но тебе он не поможет (да и я его не дам) - импорт тут хранится в виде контрольных сумм от имен, а поскольку под линуксом я не могу загрузить виндовые либы чтобы перебрать экспорты, то восстановление импорта я не стал делать =))
Глупые вопросы сразу в dev/nul - да, естественно мой распаковщик xloc'a (собственно как и всех остальных) это не пионерский трейсер/дампер и даже не ублюдочный скрипт для олли, а самостоятельный распаковщик, который будет рабоать хоть под виндой, хоть под линуксом, хоть даже не под х86 платформой, чего и всем желаю.
А олля не может нормально протерйсить файло потому что он вмешивает в криптуху состояние IsBeenDebugged из PEB вот и все, ну и трейсит сам себя, так что про отладчики можете сразу забыть если не разбираетесь дотошно вработе системы.

| Сообщение посчитали полезным:

Да, по поводу импорта, если xloc его заманглил (что бывает не всегда) то можно дампануть обработчик из памяти, и окуратно профиксив офсетвы на табличики написать тулзу чтобы она разманглила импорт, как мы и делали в свое время. Ну вы поймете что я говорю когда увидите переходы. Собственно как поймете и то что импрек тут не поможет =)

| Сообщение посчитали полезным:

проще говоря "отдыхайте ребята" =)

Я всё больше ощущаю себя ламером... =)

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

DrGolova пишет:
даже не ублюдочный скрипт для олли
зря ты так... скрипты очень удобно использовать т.к. они позволяют автоматизировать обработку бряков (тоесть фактически можно использовать вместо встраивания своей длл) и ещё много чего...

DrGolova пишет:
он вмешивает в криптуху состояние IsBeenDebugged из PEB
тоесть туда 0 нельзя вписывать уже ? =)

DrGolova пишет:
если xloc его заманглил
а что сие умное слово означает ? отсутствие оригинальных jmp/call на иат ? если да, то такое сейчас ведь почти во всех протекторах юзается (аспр, арма и даже всякие PeSpin`ы =) )...

ЗЫ ну совсем интересно стало... где-бы всё-таки прогу с этим чудом найти ? %)

| Сообщение посчитали полезным:

gloom пишет:
проще говоря "отдыхайте ребята" =)
Я всё больше ощущаю себя ламером... =)

Да уж... DrGolova распишет, что потом мозги кипят...

| Сообщение посчитали полезным:

Да не особо все там и сложно - я за час простепал его весь под отладчиком, токо с импортом засада, но и она решаема.

| Сообщение посчитали полезным:

Mario555 посмотри на www.digitope.com/pixelshop/download.htmи Они свои проги этой дрянью пакуют! Попробуй Pixelshop он не очень большой и поковырять его можно!

| Сообщение посчитали полезным:

pavka пишет: Попробуй Pixelshop странная прога... она что распакованная, что запакованная тормазит жутко =) а XtreamLok который на этой проге - лажа полная... создаёт процесс (файл .locked запускает) и пишет ему 400h байтов...

0012EEBC   0041DA70  /CALL to WriteProcessMemory from pixelsho.0041DA6A
0012EEC0   00000078  |hProcess = 00000078 (window)
0012EEC4   004067F8  |Address = 4067F8
0012EEC8   0012EEE0  |Buffer = 0012EEE0
0012EECC   00000400  |BytesToWrite = 400 (1024.)
0012EED0   0012F4BC  \pBytesWritten = 0012F4BC

короче можно просто запустить процесс, сдампить, копировать кусок который ему пакер записал (или всю секцию кода, врятли при работе прога в неё что-нить пишет) и поставить это в файл .locked на этом распаковка вроде будет закончена =) ЗЫ под олли запускается без проблем.

| Сообщение посчитали полезным:

Mario555
Все так! Но по видимому в пакере либо версия другая либо опционально но в Visual Autorun у них чуть по другому! В прогах
Ulead тоже! Совершенствуют пакер!

| Сообщение посчитали полезным:

pavka пишет:
но в Visual Autorun у них чуть по другому!
намного сложнее ? или чуть сложнее, чем в Pixelshop, который за пару минут распаковывается ? =)

| Сообщение посчитали полезным:

Mario555
Мне показалось намного сложнее

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Mario555
Там посерьезней! Особенно в последних Ulead!

| Сообщение посчитали полезным:

nice пишет:
Мне показалось намного сложнее
угу, в Visual Autorun позабавнее было... =)
mario555.pisem.net/vautorun_unp.sfx.exe

| Сообщение посчитали полезным: