вотт собственно [url=http://webfile.ru/600087
]http://webfile.ru/600087
[/url]
много чего недоделал и много чего ламерского но показать хочется
собственно интересно сколько он продержится по времени
там впринцепе пока немного работы нужно
когда будете сматреть всё важное закройте

48d1_umpakme_by_read_me.rar

| Сообщение посчитали полезным:

Фига ты наколдовал ... у мя даже Ольку и комп подвисает

| Сообщение посчитали полезным:

да эт маи первые шашки, а невсю антиотладку туда впихнул ещё
да и ваще всё там коряво сделано очень
но у меня запущеная прога ресурсов неест почти гдето на нуле

| Сообщение посчитали полезным:

VMProtect + Themida + Starforce ? ;))))

| Сообщение посчитали полезным:

read_me Ты еще бы написал для Newbie ладна попробую еще разок потом отпишусь

| Сообщение посчитали полезным:

Asterix
нет это я протэктер пишу свой
а Newbie это что такое?

| Сообщение посчитали полезным:

Z0oMiK пишет:
Ольку и комп подвисает
Он приостанавливает все процессы в системе ZwSuspendTread кажется,
бряк на него потом патчить ret 4 в начало.
потом за пускается еще одна олька помоему как-то связано с UnhandledExceptionFilter
но я не уверен, пойду дальше копать..
EDIT: глянул точно ZwSuspendProcess а не ZwSuspendTread

| Сообщение посчитали полезным:

read_me пишет:
а Newbie это что такое?
Новичек

| Сообщение посчитали полезным:

OEP находится сразу(дельфи, конец секции кода), директория импорта со всеми именами функций лежит в открытом виде, имена функций не уничтожены, softice отлично отлаживает, в общем пока такой слабенький пока упаковщик, максимум час продержиться

| Сообщение посчитали полезным:

угу против софт айся я защиты вобще некакой неставил только против ольки
ну директорию импорта востоновил ктонибудь?

| Сообщение посчитали полезным:

454118 - 4546D4 - это IAT, надо сделать цикл, который будет по очереди передавать управления по всем адресам, а перед этим пропатчить 464931 - call eax, во время вызова в eax правильный адрес API, оттуда и собирать адреса.

| Сообщение посчитали полезным:

dragon пишет:
softice отлично отлаживает
А ты в ольке не пробовал дойти до OEP ?
Ни как не могу пройти последние несколько процедур, че там за фишки такие ??
004640CB E8 86080000 CALL umpakme_.00464956
004640D0 E8 6A070000 CALL umpakme_.0046483F
004640D5 E8 6F090000 CALL umpakme_.00464A49
004640DA E8 F1090000 CALL umpakme_.00464AD0
004640DF E8 9C060000 CALL umpakme_.00464780
004640E4 68 5C004500 PUSH umpakme_.0045005C <<--OEP
004640E9 C3 RETN

| Сообщение посчитали полезным:

Я ей редко пользуюсь у меня даже 1.08 версия без плагина стоит
В айсе bpm работает, значит в ольке должен работать его аналог - hardware breakpoint и затем run - F9.

mypak:00464997 pusha
mypak:00464998 pushf
mypak:00464999 call sub_4641C6
mypak:0046499E cmp eax, 0
mypak:004649A1 jz short loc_4649A5
mypak:004649A3 jmp short loc_46497A
mypak:004649A5 ; ---------------------------------------------------------------------- -----
mypak:004649A5
mypak:004649A5 loc_4649A5: ; CODE XREF: sub_464956+4Bj
mypak:004649A5 popf
mypak:004649A6 popa


Это цикл без выравнивания стека, нехорошо так делать, поправить бы надо

| Сообщение посчитали полезным:

dragon пишет:
В айсе bpm работает, значит в ольке должен работать его аналог
Нет не работает там в конце еще какой-то трик .
Прога палает с акцес виолатион.

| Сообщение посчитали полезным:

я процедуры просто в открытов виде оставил, как для себя писал просто, там вызывается их штук 8 и простой переход на оеп, да и текстовые переменные лежат в открытом виде, так что
про невыравнивание стека да, я чтот необратил внимания, просто сегодня побыстрому антиотладку лепил

| Сообщение посчитали полезным:

read_me пишет:
просто сегодня побыстрому антиотладку лепил
ага, заметно )) антиотладка - "с миру по нитке", тоесть ничего особенно нового я не заметил, всё проверки уже ранее использовались в других пакерах (ну кроме, пожалуй, этой блокировки процессов, толку от которой немного).

ЗЫ tls я левые вписал в распакованный, но ведь работает ))


4f51_Unpacked.rar

| Сообщение посчитали полезным:

а то что я там с таблицей импорта творил всё зазря значит?)
ну зря ты про антиотладку коечего я и сам придумал,две весчицы там мой негда которые невидел,хотя...

| Сообщение посчитали полезным:

read_me пишет:
а то что я там с таблицей импорта творил всё зазря значит?)
А ты разве творил? По-моему в открытом виде выложил.
Кстати, этот унпакми - хороший пример унпакми, который можно распаковать не запуская, и даже не смотря в код распаковки.

| Сообщение посчитали полезным:

ну если считать что импорт будет шифроваться и небудет в открытом виде токак?
впринципе если нолике там добавить между адресами то его ImportREC восстановит, а я думал делал подмену вызовов эпишных функций а получилась(

| Сообщение посчитали полезным:

read_me пишет:
ну если считать что импорт будет шифроваться и небудет в открытом виде токак?

А по теме пробежаться? Я вроде ясно описал как восстановить импорт, это сработает хоть ты что с именами сделаешь, рано или поздно управление должно быть передано на API, в данном случае это ловится по адресу 464931 адрес API в eax

| Сообщение посчитали полезным:

read_me пишет:
и небудет в открытом виде токак?
дык никак пока ) убери глючные проверки типа rdtsc, блокировки процессов и т.п.
ЗЫ кста там у тебя вообще всё чтоли в калбэке выполняется, совсем не выходя ? =)) ты уверен что так можно делать ?

| Сообщение посчитали полезным:

Mario555 пишет:
в калбэке выполняется
ты про tls? если да то помоему можно делать, т.к. она потом ещё будет два раза через код прогоняться но на второй раз при нормальном запуске просто ехитпроцес выполнится
чувствую у меня щас будет маленький застой думая ещё что можно сделать

| Сообщение посчитали полезным:

кстати на софт айс недействуют же приостановки процессов? я просто непроверял
хочется ещё таблицу ресурсов изменять только доков ненашёл чтото или плохо искал пока

| Сообщение посчитали полезным:

вобще-то идея приостановки процессов не годится для промышленного протектора,
никто не купит такой протектор, который может лишить пользователя каких-либо
данных в случае глюка этого самого протектора,
да и под юзером возможно это будет работать не для всех процессов

| Сообщение посчитали полезным:

кста придется переделать защиту от OutputDebugString, чтоб всякие умники не подлавливали ;)

| Сообщение посчитали полезным:

Asterix хехе это он так накалдует щас что винду потом придется сносить

| Сообщение посчитали полезным:

Ну в общем пропатчил почти всю антиотладку, а отсюда вывод нужен контроль CRC

705a_patched.rar
ADDED:
Кстати, ты бы дословно не переписывал
IsDebuggerPresent_byLDR_1:
mov eax,fs:[30h]
mov eax,[eax+0Ch] ;PEB.LDR
and eax,0FFFF0000h ;базовый адрес кучи LDR
mov eax,[eax+10h] ;<> 0 - отладка (HeapFlags <> 0)
ret

IsDebuggerPresent_byLDR_2:
mov eax,fs:[30h]
mov eax,[eax+0Ch]
movzx eax,byte[eax-3] ;флаги блока кучи
and eax, 2+4 ;<> 0 отладка (установлены флаги tail_checking=2 и free_checking=4)
ret
с васма http://www.wasm.ru/forum/action=vthread&forum=4&topic=10118& page=1<--[/url]
разбавь их как нибудь мусорным кодом

| Сообщение посчитали полезным:

да плоховато сделали защиту OutputDebugString олька плямо с этим плагином уж очень явно выдаётся Z0oMiK пишет:
винду потом придется сносить
ну до токого я недойду
а про crc я просто невключил этот метод так как надо следить за маленькими участками т.к. весь код по ходу выполнения изменяется

| Сообщение посчитали полезным: