 |
eXeL@B —› Основной форум —› PC-Guard 5.0 -> Blagoje Ceklic |
| Посл.ответ | Сообщение |
|
|
Создано: 05 ноября 2005 23:37 · Личное сообщение · #1 Кто нить ковырял этот пакер ? 
 |
|
|
Создано: 05 ноября 2005 23:42 · Поправил: DrGolova · Личное сообщение · #2 Ничего особенного - статические мусорные макросы, и прочая стандартная требуха. Ой, чета я заговорился, так вот ответ на прозвучавший вопрос - да |
|
|
Создано: 05 ноября 2005 23:50 · Личное сообщение · #3 DrGolova Расскажи как ковыряется это чудо ? 
|
|
|
Создано: 06 ноября 2005 00:03 · Личное сообщение · #4 Как я уже сказал, ничего экстраординарного там нет. Так что открываем в IDA, пишем скрипт чтобы вычистить мусорные макросы, вычищаем. остается кода на пару килобайт, вколачиваем офсеты и получаем распаковщик. Собсно все. Как по другому - не знаю. VM-Ware детектит стандартно - через backdoor с прерыванием, так что в конфиге виртуальной машины отключаем опцию определения версии VM. |
|
|
Создано: 06 ноября 2005 00:08 · Личное сообщение · #5 DrGolova А без ИДЫ некак ? я в ней толком не разбираюсь ... а уж тем более писать скрипт ... 
|
|
|
Создано: 06 ноября 2005 06:25 · Личное сообщение · #6 Z0oMiK Поищи! На италянском сайте видел полный мануал по снятию PC Guard 5.0 с использованием OllyDebugger ;)) |
|
|
Создано: 06 ноября 2005 10:47 · Поправил: Lomik · Личное сообщение · #7 Какой такой итальянский сайт, а тут вам чем плохо, я и то въехал че и как http://www.exelab.ru/art/pcg50_biowrm.php http://www.exelab.ru/f/action=vthread&forum=1&topic=3083 |
|
|
Создано: 06 ноября 2005 19:00 · Личное сообщение · #8 Lomik Эти туторы не помогают 
|
|
|
Создано: 06 ноября 2005 19:37 · Личное сообщение · #9 Z0oMiK а что за прога? |
|
|
Создано: 06 ноября 2005 19:41 · Личное сообщение · #10 Inv Electra 1.5.3 www.konekt.com/dld/product/setup.exe |
|
|
Создано: 07 ноября 2005 04:51 · Личное сообщение · #11 Z0oMiK Есть tANDm: PcGuard Unpacker v.0.5 попробуй! |
|
|
Создано: 07 ноября 2005 08:50 · Личное сообщение · #12 > Electra 1.5.3 > www.konekt.com/dld/product/setup.exe нужно размер указывать |
|
|
Создано: 07 ноября 2005 10:35 · Поправил: Smon · Личное сообщение · #13 Смотрел сам PCGuard 5. Распаковывается влёт- оеп элементарно, импорт практически целый - проэмулен только kernel32.ExitProcess, в общем защита отстойная. Единственное что плохо - то что он без валидного ключа вряд ли снимется, по ходу без брутфорса не выйдет.
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 07 ноября 2005 12:21 · Личное сообщение · #14 Smon Хм, а с чего такие выводы что не снимется без ключа ? Все вроде снимается ... |
|
|
Создано: 07 ноября 2005 13:10 · Личное сообщение · #15 Fallen Angel В нём, насколько помнится есть режим криптовки - то есть Locked. И пока не нароешь валидный ключ - хрен снимешь =) Я просто в целом имею в виду, а не по той проге, которая в ссылке =)
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 07 ноября 2005 19:58 · Личное сообщение · #16 Asterix пишет: нужно размер указывать да уж почти 3.5 МБ 
|
|
|
Создано: 08 ноября 2005 13:13 · Личное сообщение · #17 Smon Ясно 
Просто в том, что мне попадалось ничего подобного не было. |
|
|
Создано: 08 ноября 2005 14:03 · Личное сообщение · #18 Fallen Angel Видимо далеко не все разработчики читают мануалы к протекторам  , это их траблы, крэкерам же легче
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 08 ноября 2005 18:16 · Личное сообщение · #19 Господа, этот пакер снимать, в общем-то, и не нужно. он неплохо кейгенится по любой валидной паре SiteCode/ActivationCode. Проблема там основная в том, чтоб найти ф-цию-генератор сайткода и на лету ее поменять..... точнее, сначала получить "правильный" код, потом поменять ее на {return our_site_code} - элементарно, а потом дать ей вывалить окно активации и ввести туда ключик. Далее, надо поправить пачку рег. данных- поставить на место правильный сайткод и чего-то еще, не помню сейчас, если спросит кто, тогда гляну..... В принципе, можно написать кейген для продукта, но лень было это делать - исследование было "академическое". DrGolova правильно заметил, статично там все. несколько радости добавила расшифровка с расшифровщиком в качестве ключа, разные варианты установки SEH, но в целом - просто. А триал с нее снять еще проще. И защита от дампа там простая..... да и от дебага тоже..... PS. проделывал я все эти дела на С/асм, поскольку не силен в написании скриптов к IDA.... Единственное, что там неломаемо (если не использовать загрузчик, а если установлено шифрование с исп. пароля, то и вообще только перебор 2^32), так это защита по паролю..... |
|
|
Создано: 09 ноября 2005 13:32 · Личное сообщение · #20 А кто-нибудь имел дело с RTE (run-time encryption) пцгарда 5.0? Похоже мой таргет эту фичу использует. Дамп снят, импорт восстановлен, рабочий екзешник получен, вызовы апи пропатчены. Остался подозрительный кусок таргета -- мусор внутри функции который обходится джампами в случае не_демо. Хотя явно должен делать осмысленные действия, которые можно даже угадать (проверено). Обращений к этому куску от апи не обнаруживается. Пока планирую сделать ключ, видимо тогда кусок сам расшифруется. Или найти код в апи, который RTE обрабатывает. Если у кого-то есть документация по RTE или наработки/мысли буду очень благода. |
|
|
Создано: 12 ноября 2005 14:59 · Личное сообщение · #21 Ладно... Разобрался уже. В коде пцгарда активация RTE областей делается путем сканирования секций из списка на сигнатуру и замену на push длина+call шифрование. При шифровании в качестве ключа используется одно слово данных пцгарда и 3е слово расшифрованного кода активации. Последнего у меня не было, но проблема решилась перебором с проверкой валидности результата по угаданным ссылкам на данные. |
|
eXeL@B —› Основной форум —› PC-Guard 5.0 -> Blagoje Ceklic |
Для печати