Обьясните пожалуйста способы,
чтобы определить, какие анти-фичи использовались
в программе при защите армой, я имею ввиду:

Nanomites
Import Table Elimination
Strategic Code Splicing
CopyMem-II

Ведь они независимы и могут быть использованы не все,
поэтому хотелось бы знать с чем бороться.
(маленький P.S.: исследую AdvaSaR Pro)

| Сообщение посчитали полезным:

Если при запуске проги два процесса, то есть наномиты или копимэм.
IAT Elimination - арма перемещает весь импорт в отдельный блок памяти, который находится за пределами образа (затрудняет дамп и не дает пользоваться ImpRec'ом)
Code Splicing - некоторые участки кода вырезаются армой, вместо этого арма выделяет память, заполняет ее кодом и вставляет джампы на этот код. Выглядит это как джамп с секции кода на код армы.

-----
crypto.freak

| Сообщение посчитали полезным:

sLime
sLime пишет:
Может скрипт для оли есть какой,
или прога специальная, которая просто расскажет все что думает о запакованной армой программе!
Не слышал о таких Максимум, что тут можно автоматизировать хорошо - определение версии армы и проверка, есть ли арма вообще По номуру версии уже можно думать, какие могут быть фичи, а какие - не могут.

sLime пишет:
Во всех туторах каким-то чудодейственным образом автор определяет,
что тута используется такая-то функция армы, и он будет ее ломать.
Да, сначала достаточно тяжело через все это прорваться Надо просто как можно больше целей исследовать, т.с. "набить руку" ;) Тогда натренированный глаз будет все детектить сам

-----
crypto.freak

| Сообщение посчитали полезным:

Топик почистен, больше просьба не страдать подобными вещами. Всем, чьи посты удалены - предупреждение.

| Сообщение посчитали полезным:

cbs пишет:
Тогда натренированный глаз будет все детектить сам
В таком случае можно точно написать прогу, которая по сигнатурам
будет определять армовые функции в теле запакованной проги
(уж они-то надеюсь не шифрованы? ),
но дело наверное трудоемкое

| Сообщение посчитали полезным:

Ara
Эх, постик мой удалил , я там просил ссылку на золотой пост Бит-Хака о сабже, я никак найти не могу... киньте плиз! Мож там исчерпывающий ответ?

| Сообщение посчитали полезным:

sLime
http://www.exelab.ru/f/action=vthread&forum=1&topic=3022
второй пост снизу

<OT>
Ой, что я еще нашел
http://www.exelab.ru/f/action=vthread&forum=2&topic=1117&p age=0#11
1-2-3 посты снизу
</OT>

-----
crypto.freak

| Сообщение посчитали полезным:

cbs
Спасибо за 1-й линк, а там вообще не так уж обобщено
Бит-Хак там пишет:
...если один процесс - нет ни наномитов, ни копимем, ни дебагблокера. Есть два процесса - есть или нано или копимем. Грузишь процесс в олю, бряк на врайтпроцессмемори, отпускаешь, если не более двух раз прервёшься - наномиты или дебаг блокер, если много раз - копимем и, возможно, наномиты.

Про дебаг-блокер долго узнавать не приходится - марадилла сама напомнит,
мол не забудьте выключить отладчик перед запуском нашей программы.
Есть статья "СУПЕРОБЪЯСНЕННАЯ ARMADILLO 3 РАСПАКОВКА ПРОГРАММЫ LYDIA (ЧАСТЬ 1)",
там в самом начале обходится обнаружение отладчика.
Про Import Table Elimination и Strategic Code Splicing сложнее, надо уж самому увидеть,
как сказал cbs...

Да, те посты забавные,
но что делать - если кто-то нос задирает, то он и под ноги не смотрит

| Сообщение посчитали полезным:

Пацаны, самый лучший способ узнать фичи армы - начать её распаковывать, во время распоковки выяснится всё. Ара, не бань меня, я хороший

| Сообщение посчитали полезным:

sLime

Вот здесь видео про распаковку армы, там и копимем, нано.
Качай если не влом, но, подозреваю на испанском.
В лучшем случае на англицком.

http://exelab.ru/f/action=vthread&forum=1&topic=2887

| Сообщение посчитали полезным:

Downloading...

| Сообщение посчитали полезным:

О ф и г е н н о! NIKOLA Гранд мерси за ссылку! Кого интересует армадила - качаем однозначно. 4 архивчика: 3 по 3 Мб + 6 Мб сама прога-жертва = полуторачасовой безмятежный разбор полетов при помощи известных инструментов;
в первых 3-х - SWF-ки суперские (все-таки FLASH рулит ), туторы будущего уже в настоящем!
Эх, размягчится мой мозг скоро от этих туторов

зы: Кстати, на англицком.

| Сообщение посчитали полезным:

Хмм, там видео со звуком чтоли?

| Сообщение посчитали полезным:

Ara Из звуков там щелчки мыши (чтобы "кино" не казалось немым ) + flash-спецэффекты
от программы, в которой это действо записывалось.
Да и нужны ли звуки? Хотя коментарии голосом автора (Benina) были бы оччень к месту.

Короче, дублирую ссылки, чтоб никто не парился (хотя с рапидшарой попробуй не запарься):

PART 1: DUMP FILE
rapidshare.de/files/5988896/benina_copymem1.rar.html

PART 2 : FIX IAT
rapidshare.de/files/5989205/benina_copymem2.rar.html

part 2 beta:
rapidshare.de/files/5989423/benina_copymem2beta.rar.html

TARGET:
rapidshare.de/files/5989809/Getright5final.rar.html

Медитируем...

| Сообщение посчитали полезным:

Да... жаль об арме в рунете так мало изучено

| Сообщение посчитали полезным:

sLimeХех у парня во втором видео даже олька повисла :]]]]]] бедняга... За ВИДЕО БОЛЬШАЯ СЕНЬКА

| Сообщение посчитали полезным:

Отличная статья по армадилле от AndreaGeddon!
1432 страницы! Большая часть - код, но текста и разных схем там хватает. Если хотите детально разбираться в арме - читайте.

Armadillo 4.20: Removing the armour: a naked animal
17.10.2005 23:33
http://www.reteam.org/papers/e72.pdf


P.S. Форум жжот

Сейчас на форуме: Cigan, di-2, SeDoYHg, [HEX], Red Bar0n, ASMax, sLime, s0larian, Z0oMiK, IvanStepkin, Lomik, DDA, 4kusNick, CERBER, KViNTO, dMNt, Destroyer, Darel, Druncard, armant, Rush, Ara, DillerInc, Stiver, cbs, -=Defender=-, infern0, bkslash, mOzG, Soft Hack, Stranger, Grim Fandango, -= ALEX =-, Sax0n, aLiEn[SSTeam], Zyzomys, Archer, ndiv, Xapakupu, hawkmoon, Runtime_err0r, volkey, ilya, mysterio, NIKOLA, freeneutron, xDriver, intty, Nitrogen, rmn, Smon, Personal Jesus, 2nd, r99, read_me, immlep, Styx, DOLTON, Spiteful, LTP, PlainTeXT, RideX, Error_Log, Getorix, Myk, Bit-hack, SubV, fakit, stalker, Midim, Bad_guy, g-l-u-k, _DiM_, DrGolova, Dr0x, nice, freecat, bbuc, SLayer, Vjacheslav, Paxan, diogen, pavka, templar32, Barakuda, Broken Sword, vit_bush, rep0A, Gideon Vi, AVE, ssx, AG, nitromaarek, Maximus, ValdiS, Step, Rascal, Able, Sh[AHT], drak, Dred, cadet, Malice, autoexec, _mask_, xShadow, estet, Solker, Bitfry, GPcH, Bob

-----
crypto.freak

| Сообщение посчитали полезным:

cbs Это глюк какой то наверно ....

| Сообщение посчитали полезным:

Z0oMiK пишет:
Хех у парня во втором видео даже олька повисла
Неудивительно . Ты видел сколько у него процессов в памяти?
А не настроенная винда слегка режет глаз. Но в целом тутор суперский.
Интересно какой только прогой флешку он писал.

Armadillo 4.20: Removing the armour: a naked animal
Название как в боевике , воодушевляет к атаке
cbs спасибо!
Раз уж я заикнулся, что в рунете мало об арме, то могу попробовать
перевести, хотя еще не убедился в ценности материала. Заценю ка получше.

| Сообщение посчитали полезным:

А автор молодец, сразу стал рассматривать Armadillo, она же сама собой защищена ^-^

| Сообщение посчитали полезным:

sLime пишет:
Раз уж я заикнулся, что в рунете мало об арме, то могу попробовать перевести
Не стоит имхо. Одно дело, когда переводят с испанского, а на инглише как-нибудь прочитают, те, кому надо - точно прочитают.

sLime пишет:
еще не убедился в ценности материала
Ценность материала от RET можно не проверять Фирма веников не вяжет

-----
crypto.freak

| Сообщение посчитали полезным:

cbs пишет:
те, кому надо - точно прочитают.
Это да, так что не буду переводить, английский не сложный
язык, а y RET'a как погляжу простой слог.

Меня больше интересует следующее,
В программе AdvaSaR Pro, перед распаковкой предлагается ввести имя и лиц. ключ,
которые зависят от харда, делаю вывод, что эта "лицензия" проверяется до распаковки армадиллой,
потом отказавшись жмем ОК, программа распакована,
идем в раздел помощ и видим "приобрести лицензию", где просят ввести те же имя и лиц. ключ.
Так, что же, арма в меню встроилась сама, или это програмистом реализовано?
Ведь вся суть навесной защиты армой от юзера в том что, армой кидается мусор в реестр,
и она по истечении evaluation периода просто не распакует прогу,
а как проверка ключа оказалась прямо в программе?

| Сообщение посчитали полезным:

Может я туплю ?

| Сообщение посчитали полезным:

sLime

Обычно если Арма просит ключ до NAG-а, то этот ключ используется для декриптовки кода, т.е. без ввода правильного ключа до нормальной ОЕР не дойти (по крайней мере, так было в моей практике в двух прогах, которые его просили... да и протекторс-гуру то же самое говорили...) - в таких случаях при отсутствии валидного ключа рекомендуется "забить"...

Но по твоему описанию происходит что-то странное: в случае отказа от ввода ключа Арма не должна запускать прогу, а должна просто её закрыть.

| Сообщение посчитали полезным:

estet пишет:
Но по твоему описанию происходит что-то странное
Странное? Я уже запутался, уже которую неделю кручусь вокруг да около
моей любимой проги, изучаю ее, мечтаю ее крякнуть, ищу кряк который месяц!,
нахожу одни вирусы, а ты еще "забить" вот порекомендовал

Короче, вот что выводится при запуске проги:



Если жмем введите ключ, то получаем



а если типа хотим продолжить испытательный период, то жмем ОК
и после распаковки в разделе Помощь > Приобрести лицензию,
то получаем вот это



Что это, и как это обьяснить?

| Сообщение посчитали полезным:

sLime пишет:
делаю вывод, что эта "лицензия" проверяется до распаковки армадиллой
А я думаю, что лицензия проверяется самой прогой, а арма навешана, чтобы затруднить взлом.
... так это демо версия с ограниченными возможностями или триалка? Или и первое и второе? И вообще, что за прога, сколько весит...ссылка...

-----
Research is my purpose

| Сообщение посчитали полезным:

Я занимаюсь по сей день вебдизайном и считаю эту программу
гениальной без тени сомнения, тем, кто знает перловские регулярные
выражения, эта прога будет правой и левой рукой .

AdvaSaR это Advanced Search and Replace - расширеный поиск и замена,
прога уже год как не разрабатывается, и сам Бог велел дарить ее людям
Очень шустро ищет и меняет блоки текста по Regular Expressions в тысячах файлов,
понимает кучу кодировок, ведет отчеты, делает откаты, свой хороший редактор с подсветкой,
встроеный браузер, вобщем слов нет.

Короче AdvaSaR Pro заметно функциональнее и удобнее бесплатной версии,
которая все время рвется на сайт и говорит что она уже устарела, типа скачайте новую,
которой нет, а от разработчиков ни ответа ни привета.

В Pro-версии я не заметил никаких ограничений,
просто прикаждом запуске ключ просит, а после распаковки выдает окошко
с интерактивным изучением программы и рег. выражений. По времени не ограничена,
но если перевести стрелки часов вперед на год, тоже говорит, что устарела.
Про-версия (дистриб) размером 1,84 MB,

ссылка на прогу advasar.ru/SetupAdvaSaRPro.exe

ссылка на сайт advasar.ru

Если все по-англицки, то

ссылка на прогу advasar.com/SetupAdvaSaRPro.exe

ссылка на сайт advasar.com

| Сообщение посчитали полезным:

надеюсь я не далеко от темы ушел

| Сообщение посчитали полезным:

sLime

Распаковал я твою пржку, да вот только дамп весит 4 кило .

| Сообщение посчитали полезным:

NIKOLA
%-0 ни фига себе!!! Как ты это сделал?!
А, ну да, извини, в ветеране усомнился
Там IAT Elimination использовалось?, вообще скажи, как это было?
как ты понял, что дамп рабочий, как расшифровал секции,
пытался ли импорт восстановить, в чем распаковывал,
ну в общем опиши, все что можешь, если не влом конечно,
да и вообще как тебе сама программа? Да, узнал ли ты что-нибудь новое для себя ?

Спасибо заранее.

| Сообщение посчитали полезным: