Кто что может подсказать, www.positic.com/potolook
Защиту даже не определить, IMHO конечно всё равно, но...
В первой части распаковки potolook.dll идёт мусор и ДО ФИГА проверок TeB/PEB на дебаггер, я это ВРОДЕ КАК прошёл, но кто знает, может там что скрытое есть, дальше распаковка чего-то, а дальше 2 или 3 раза вот такой код:
00974245 64:8922 MOV DWORD PTR FS:[EDX],ESP
00974248 3BF3 CMP ESI,EBX
0097424A 7E 14 JLE SHORT Potolook.00974260
0097424C 8B04DF MOV EAX,DWORD PTR DS:[EDI+EBX*8] ; Potolook.00978814
0097424F 43 INC EBX
00974250 891D 44D6AA00 MOV DWORD PTR DS:[AAD644],EBX
00974256 85C0 TEST EAX,EAX
00974258 74 02 JE SHORT Potolook.0097425C
0097425A FFD0 CALL NEAR EAX
0097425C 3BF3 CMP ESI,EBX
0097425E ^ 7F EC JG SHORT Potolook.0097424C
00974260 33C0 XOR EAX,EAX
00974262 5A POP EDX ; 0006F878
00974263 59 POP ECX ; 0006F878
00974264 59 POP ECX ; 0006F878
00974265 64:8910 MOV DWORD PTR FS:[EAX],EDX

По call eax идёт что-то типа inc dword ptr ...
НО там же в таблице этих call'ов идёт и импорт и много чего...
В общем я застрял на Exception'ах, вылезают под конец(уже похоже) и всё портят, а главное - я такого никогда не видел!, код пишет lasterror directly в PEB!!!
Кто что думает?
(для облегчения жизни olly со всеми антиплагами+ловить антидебаг по mov eax, dword ptr[eax] и если всё OK, то test eax,70h в самом начале, для айса по другому конечно...)

| Сообщение посчитали полезным:

Ба, да это ж ExeCryptor =)

| Сообщение посчитали полезным:

он самый кто-нить если снимет его - дайте знать, меня просто друг про этот potolook спрашивал..

| Сообщение посчитали полезным:

Отлично, много понятнее. тогда вопрос такой, как и по какому принципу оно считает CRC(если вообще считает)?
С остальным то я разберусь...

| Сообщение посчитали полезным:

John Freeman пишет:
С остальным то я разберусь...
Как разберешься, просвяти нас...

| Сообщение посчитали полезным:

патчить можно и p-code... защита от антидебага примитивная просто(для того кто знает) - PEB напрямую и смотрит дальше в TEB если не найдёт.
Но как я посмотрел сколько мусора... полностью даже 1.х не снимали - на ловушки после дампа и IAT уже сил не хватало, так что просто скорее всего сделаю вечный триал... его же проще сделать с VoptXP например, тк полным всё равно не станет...
И в конце концов - он считает CRC или нет???

| Сообщение посчитали полезным:

John Freeman пишет:
И в конце концов - он считает CRC или нет???
Смотря что ты имешь ввиду под CRC... Вообще-то целостность файла естественно проверяет, иначе б он не был протектором.

| Сообщение посчитали полезным:

ну, это в общем смысле, а crc просто как метод привёл, а не в курсе - примерно какой алгоритм?

| Сообщение посчитали полезным:

John Freeman
Если кто-то это скажет в приват, я статью напишу по его патчу. =) Это единственное, в чем я застопорился. Просто меня останавливает низкая его распространенность(имхо пока), но заломать его надо. Стукни в аську мне, я объясню что к чему.

| Сообщение посчитали полезным:

> целостность файла естественно проверяет

Целостность _файла_ он какраз не проверяет =)
Он чекает в памяти. Раньше ловилось все обычным bpm, а дальше в заголовке сразу перед PE хедером есть 0х20 байт - это не трэш, среди нах есть 4 дворда с нужными контрольными суммами. Какие именно эти дворды из 32 байт - хз - это в каждой проге меняется.

| Сообщение посчитали полезным:

DrGolova пишет:
Он чекает в памяти.
Я неправильно выразился =) Про дворды в хереде я объянил уже в аську.

| Сообщение посчитали полезным:

Ara пишет:
я статью напишу по его патчу

Хотелось бы почитать, а то по этому криптеру дифицит информации.

| Сообщение посчитали полезным:

Инфы как раз достаточно, я копаю Unregged 2.x - это элементарно, хотя время надо, где бы зарегеный найти... Так как про зарегеный действительно много описаний, а вот снять - нереально говорят.

| Сообщение посчитали полезным: