Anti-keylogger 6.0, ~2Mb
www.bezpeka.biz/downloads/antikey.zip

Раньше такого не попадалось, пока глубоко не копал, заголовок пустой (в Directories одни нули, потом в памяти раскриптованый мелькает), изначально импорт пустой - kernel32.dll->Beep, ntdll.dll->NtTerminateProcess, юзается Native API, ну и под конец выкидывает себя из списка процессов Кто-нибудь уже видел такое?

| Сообщение посчитали полезным:

Щааа, посмотриммм.
RideX пишет:
Кто-нибудь уже видел такое?
Меня ещё прикальнул PeExplorer, такой-же "сложный".

| Сообщение посчитали полезным:

}{e-}{e, эта игрушка дебаги за милю чует После чего удаляется

| Сообщение посчитали полезным:

Во пацаны скрипт установки проги надыбал может поможет.

a175_install_script.txt

| Сообщение посчитали полезным:

Ruller
Неа, это обычный InnoSetupocskii скрипт, толку от него 0. Там сама защита крутая. Мне пришлось сосульку сносить, т.к. защита её палит и удаляется Я не знаю что с этим делать. Прогу закрыть нельзя, дебажить олей тоже, т.к. она прячется. Вощм, сдаюсь.

| Сообщение посчитали полезным:

Ну что ты так мучаешься? Попробуй её как-нибудь вытащить обратно в список процессов...
ProcessId при загрузке можно узнать.
Посмотри, как она прячется, может, она NtQuerySystemInformation перехватывает каким-то образом. Не сдавайся!

| Сообщение посчитали полезным:

Нееее, это всё конечно просто(отнасительно). Толку от того, что я её могу закрыть? Ты раздизасмь её, подебаж и поймёшь, в чём проблема Особенно на чём это дело написано или чем оно закриптовано...

| Сообщение посчитали полезным:

не похожа эта байда на навесной протектор.

| Сообщение посчитали полезным:

[regser.exe]
фалйл написан на Microsoft Visual C++ 6.0
А сам ехешник не поддаётся пока анализу,хз на чём написан.

| Сообщение посчитали полезным:

Mario555
Пооолностью согласен, ни мусора, ни анти-отладки, ничего!

| Сообщение посчитали полезным:

Как ничего, ещё драйвер scrambler.sys

| Сообщение посчитали полезным:

>Как ничего, ещё драйвер scrambler.sys
Причём два штука,и ещё по ехешнику два раза прошлись скрамблером по ходу там UPX весит но всё по хитрому както.

| Сообщение посчитали полезным:

На UPX ничуть не похоже
В субботу вечером, может, успею посмотреть, что это

| Сообщение посчитали полезным:

Хрен её знает, чем она запакована...
Взаимодействие с SoftIce проверить не могу, т.к. у меня SoftIce нет
Импорты в-принципе вытаскиваются, часть - автоматически (dump, ImpRec), часть - ручками. Но после дампа она как будто бы недораспакована, т.к. или там "энтропия" высокая или распаковывается по мере использования.
scrambler.sys не распаковывал, но судя по всему, там тоже что-то зашито.
Программа прячется из списков процессов, но не сразу и не совсем! Т.е. можно при запуске узнать её ProcessId и с ним работать.
Если возникнет желание сдампить scrambler.sys - рекомендую сделать дамп через SoftIce. Только предварительно в Safe Mode поставить сервису scrambler в реестре значение "Start" в 3 (ручной запуск) и запускать командой
net start scrambler

| Сообщение посчитали полезным:

На всякий случай предупрежу. Драйвер scrambler.sys написан криво (вернее, криво запакован) и даже в нормальном, невзломанном состоянии глючит. Система на Duron950 падает раз в сутки, система на P4 2400 падает раз в 5 часов.
Так что если кто будет ломать, советую дождаться более стабильной версии.

| Сообщение посчитали полезным:

Меня ещё прикальнул PeExplorer, такой-же "сложный".

offtopic:
imho, ничего сложного, пропатчить код можно, там всего лишь WriteProcessMemory вписывает основную проверку кода ещё раз, если она исправлена, я делал так, после этих WriteProcessMemory вписывал джамп куда-нибудь в конец секции (или файла) и делал свои дела там, всё получалось, но вот ресурсы программа сохранять не хотела, надоело заморачиваться, пришлось скачать: PE.Explorer.v1.96.Datecode.20041201.WinAll.Cracked-HS

| Сообщение посчитали полезным:

А я PEExplorer уже три месяца пользую без всяких кряков патчей и т.д. там всё гараздо проще вечный триал называется,удалил кое что кое где раз в тридцать дней и ты победитель.

| Сообщение посчитали полезным:

про эти три файла, imho, давно известно (desktop.ini, pexmodes.dat и win.ini)

| Сообщение посчитали полезным:

Av0id пишет:
и делал свои дела там, всё получалось, но вот ресурсы программа сохранять не хотела, надоело заморачиваться, пришлось скачать: PE.Explorer.v1.96.Datecode.20041201.WinAll.Cracked-HS
Бррр, это что ещё за способ Зайди на diprog.x2rus.ru и почитай там мою статью. Там всего-то CRC памяти и юзание полученного результата в одном месте Быстро, но сердито

| Сообщение посчитали полезным:

Бррр, это что ещё за способ

у каждого свои методы

почитай там мою статью

ок, почитал, как раз то место где "xor edx,x" я заменял на "xor edx,edx", в итоге у меня шла проверка кусков программы, поэтому я делал инлайн. Кстати очень забавная проверка, если кусок модифицирован, то программа заменяет его оригинальным кодом

| Сообщение посчитали полезным:

Av0id пишет:
о программа заменяет его оригинальным кодом
Я заметил, это третий аспр

| Сообщение посчитали полезным:

издеваешься, да? возьми, да посмотри

| Сообщение посчитали полезным:

Av0id пишет:
да?
Да Я сам как увидел, что код востанавливается, подумал, что аспр)) Который берёт DeDe

| Сообщение посчитали полезным:

Bit-hack
ты о чём вообще ? опять какую-то непонятную (или понятную только тебе) ерунду говоришь %)

| Сообщение посчитали полезным:

Mario555
Не, вроде просто сказал как и аспр тело востанавливает(аспр инлайн делит)

| Сообщение посчитали полезным: