В общем хотелось бы услышать мнения насчет этого UnpackMe... типа кто за сколько распакует и восстановит файл до исходного состояния чтобы секцию протектора можно было удалить... да и вообще кому как данный UnpackMe:

URL: www.dotfix.net/soft/dotfix_protected_exe.rar
Size: 7 kb

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

было очень легко - 5 минут

freenet.am/~arnix/files/dotfix_UNprotected_exe.rar (7 kb)

| Сообщение посчитали полезным:

я поспешил немножко, вот этот будет побольше на оригинал похож:

http://freenet.am/~arnix/files/dotfix_UNprotected_exe2.rar http://freenet.am/~arnix/files/dotfix_UNprotected_exe2.rar (7 kb)

Добавка:
а теперь комментарии:

проверки RDTSC и большие loop-ы по шаблону удаляются за одну секунду, это плохо
после этого трейс с EIP<900000 даёт быстрый результат =)
с импортами всё легко, импрек справился без проблем, это тоже плохо

вывод, если это просто маленькая преграда против неопытных крэкеров, как ты написал у тебя нa сайте, то ничего, всё отлично, можно обмануть, а если это протектор - то очень слабый

и еще ты пишешь в сайте что вряд ли появиться анализатор который определит дотфикс, тойсть на это ты потратил время чтоб сделать код полиморфным, а имена секций почему-то поставил ".dotfix" , это ведь сразу здаст его позволь мне посоветовать не менять имeна секций.

| Сообщение посчитали полезным:

arnix пишет:
проверки RDTSC и большие loop-ы по шаблону удаляются за одну секунду, это плохо
согласен - метаморф надо и туда присобачить - лень просто было... как нибудь сделаю, но не сейчас, так как сам протектор уже зарелизил.

arnix пишет:
с импортами всё легко, импрек справился без проблем, это тоже плохо
Импорт пока только редиректится... потом планирую расширять его

arnix пишет:
вывод, если это просто маленькая преграда против неопытных крэкеров, как ты написал у тебя нa сайте, то ничего, всё отлично
Именно так... это не заменитель протектора, просто если прогу сначала задотфиксить, а потом запаковать, то пакер снять будет в разы сложнее, а точнее геморно будет OEP искать.
Я просто этот UnpackME запаковать забыл. если его запаковать чем угодно - не один generic unpacker не поможет.

arnix пишет:
и еще ты пишешь в сайте что вряд ли появиться анализатор который определит дотфикс, тойсть на это ты потратил время чтоб сделать код полиморфным, а имена секций почему-то поставил ".dotfix"
имена секций указываются в настройках при упаковке, остальное можно руками в хиеве удалить - имена секций - это не ориентир для определения пакера

arnix пишет:
позволь мне посоветовать не менять имeна секций.
В свойствах есть галочка "Don't change"

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

arnix
Гы... лол... ты же спертые байты не восстановил... сам поражаюсь как при этом EXE файл запускается )
нескольких первых команд попросту нет в EXE файле... так что рано ты сказал что распаковал... посмотри EXE файл внимательно. Ни одного спертого байта не восстановлено... в оригинальном EXE перед
mov eax,fs:[00000000]
есть несколько НУЖНЫХ команд (видимо для данного exe они оказались некритичны, вообще EXE файл поидее не должен так нормально работать

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

> EXE файл поидее не должен так нормально работать

Какраз наоборот - большая часть будет работать и без спертых байт =)

| Сообщение посчитали полезным:

GPcH пишет:
Гы... лол... ты же спертые байты не восстановил... сам поражаюсь как при этом EXE файл запускается )
нескольких первых команд попросту нет в EXE файле... так что рано ты сказал что распаковал... посмотри EXE файл внимательно. Ни одного спертого байта не восстановлено... в оригинальном EXE перед
mov eax,fs:[00000000]
есть несколько НУЖНЫХ команд (видимо для данного exe они оказались некритичны, вообще EXE файл поидее не должен так нормально работать

Гы... ладно, посмотрю сегодня
Если и спёртые байты есть то я может и статейку напишу по распаковке ;)

| Сообщение посчитали полезным:

пожалуй на этот раз всё:
hxxp://assoft.it.hosting.am/files/dotfix_UNprotected_exe3.rar (7 kb)

GPcH, правильно ли я опредилил спёртые байты?

55 PUSH EBP

8BEC MOV EBP,ESP

6A FF PUSH -1

68 48294000 PUSH dotfix_u.00402948

68 C61D4000 PUSH <JMP.&MSVCRT._except_handler3>

и плюс статья:
hxxp://assoft.it.hosting.am/files/DotFixFakeSigner.v2.7.MUP.rar (494 kb)

| Сообщение посчитали полезным:

arnix пишет:
плюс статья

А почему не на русском?

| Сообщение посчитали полезным:

arnix пишет:
и плюс статья:
hxxp://assoft.it.hosting.am/files/DotFixFakeSigner.v2.7.MUP.rar (494 kb)
Офигенная статья, с удовольствием прочитал, особенно порадовал английский юмор... несколько раз смеялся, пока читал... хотя баг все же есть - ты распаковывал не 2.7, а 2.8 версию

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Хорошая статья, умеешь писать. Молодец.

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

GPcH
на Windows 2000 SP4 Rus упакованная программа запускается и жрёт все ресурсы.

arnix
с распакованной прогой проблем нет
статья хорошая, написана внятно

-----
EnJoy!

| Сообщение посчитали полезным:

Jupiter пишет:
на Windows 2000 SP4 Rus упакованная программа запускается и жрёт все ресурсы.
Это антитрейс... видимо у тебя комп слабый... кевыл срабатывает... запусти прогу на более навороченном компе - может заработает... вообще я не рекомендую антитрейс юзать, при паковке прог дотфиксом - сам заюзал только лишь чтобы пример был всех возможностей

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
запусти прогу на более навороченном компе - может заработает...
лол

| Сообщение посчитали полезным:

Mario555 пишет:
лол
это баг RTDSK - для разных компов скорость то разная... сейчса вроде пофиксил... думаю еще кое что добавить в прогу и релизить версию 2.9

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

это не баг, а неправильное юзанье...

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

эти проверки времени вообще сами по себе баг, т.к. не надёжны... нормально будет только если делать относительно большой допустимый интервал времени, но отладку на такой интервал не поймаешь, только трейс (установку бряков ect).

| Сообщение посчитали полезным:

ты пишешь в сайте что вряд ли появиться анализатор который определит дотфикс
Странная уверенность...Уже давно, есть анализатор,который спокойно определяет его

| Сообщение посчитали полезным:

test пишет:
Странная уверенность...Уже давно, есть анализатор,который спокойно определяет его
Определяет потому, что я по заказу кое кого сигнатуру в дотфиксе сделал... если ее убрать - ничем не определить

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
видимо у тебя комп слабый
проверял на PIII-500 1Gb RAM - прога жрёт все ресурсы
на этом компе стоит Win2k sp4, юзаю его для распаковки, т.к. на P4 c HT (именно c включенной hyper threading) бывают с этим траблы

дело в том, что если ты хочешь продавать протектор, то защищённая им программа должна работать на "слабом" третьем пне на слабом i440BX ;)

и как же это перенавороченная Armadillo на нём запускалась? ;)

ok, nevermind
по данному вопросу (RTDSK) согласен с -=ALEX=-

P.S. сейчас проверил ещё раз: запускается, только если в системе больше 90% свободных процессорных ресурсов
т.е. если не включать визуализацию Winamp'a или не запускать ничего по ходу дела (типа дизасм в IDA), то прога запустится. бред.

-----
EnJoy!

| Сообщение посчитали полезным:

rdtsc

| Сообщение посчитали полезным:

Jupiter пишет:
и как же это перенавороченная Armadillo на нём запускалась? ;)
Дак это защита срабатывает - прога думает что ты ее трассируешь и начинает СПЕЦИАЛЬНО жрать все ресурсы. Баг я этот пофиксил (поставил задержку побольше.

Jupiter пишет:
дело в том, что если ты хочешь продавать протектор, то защищённая им программа должна работать на "слабом" третьем пне на слабом i440BX ;)
При продаже ключей я не рекомендовал пользователям ВООБЩЕ включать антитрассировку - сейчас вроде довел ее до ума (в версии 2.9 - ее еще не выкладывал)

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

ёклмн

-----
EnJoy!

| Сообщение посчитали полезным:

Новый протектед EXE: www.dotfix.net/soft/dotfix_protected_exe.rar
В разы мощнее... кто распакует и восстановит все спизденные байты - тот молодец. Цель - чтобы прога работала без секции протектора

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Не нашёл одну команду.
В принципе можно и без неё обойтись (безполезная).

h p://nikolaekb.narod.ru/aplication/dumped_MFC_.zip

| Сообщение посчитали полезным:

NIKOLA пишет:
Не нашёл одну команду.
В принципе можно и без неё обойтись (безполезная).
Сколько времени ушло?

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Сколько времени ушло?

GPcH, а ты сам не видишь, что между вашими постами прошло 2 часа?

| Сообщение посчитали полезным:

GPcH пишет:
Сколько времени ушло?

У меня, минут 40.
Я пока ещё не профи

| Сообщение посчитали полезным:

NIKOLA.
Ты молоток, в хорошем смысле слова

| Сообщение посчитали полезным:

Я чуть меньше получаса на него потратил.

| Сообщение посчитали полезным: