 |
eXeL@B —› Основной форум —› pelock v1.06 |
| << . 1 . 2 . |
| Посл.ответ | Сообщение |
|
|
Создано: 10 ноября 2005 12:45 · Личное сообщение · #1 кто-нибудь распаковывал это чудо? поделитесь техникой плиз  |
|
|
Создано: 11 ноября 2005 22:21 · Личное сообщение · #2 Это "жжж" не спроста 8) ----- Все говорят что мы вместе. Но не многие знают в каком. |
|
|
Создано: 11 ноября 2005 23:47 · Личное сообщение · #3 Что то Unpacked.exe глючит маленько |
|
|
Создано: 15 ноября 2005 17:03 · Личное сообщение · #4 Zoomik, чё там? |
|
|
Создано: 16 ноября 2005 19:17 · Личное сообщение · #5 Да интересно. Можно подумать, что это Asprotect и EXECryptor в месте взятые. Больше конечно похож на Asprotect. Складывается такое впечатление, что создатели подобных вещей воруют идеи друг у друга, либо полиморфный интерпритатор пишет один и тот же человек. В принципе вроде всё понятно с кодом. IAT вообще придётся создавать новую, а вот с ОЕР у меня возникли проблемы. Мне кажется ОЕР находится в районе адреса 004020e8. Кто нашёл подкажите. |
|
|
Создано: 16 ноября 2005 19:49 · Личное сообщение · #6 да, примерно в том районе, размешан с джампами ps. pelock вроде очень старый протектор |
|
|
Создано: 16 ноября 2005 20:03 · Личное сообщение · #7 OEP сразу после строчки "PELock\Shell\Open\Command" |
|
|
Создано: 29 ноября 2005 20:54 · Личное сообщение · #8 Распаковать вроде распаковал. Но проблема возникла. Не могу справится. Знаний не хватает. Падает в системной библиотеке. Может кто подкажет в чём дело. Буду очень признателен. На одну не восстановленную процедуру в IAT не обращайте внимание, это проверка регистрации я её ещё не изучал. Знающие люди глянте пожалуйста. Дамп тут:Your Download-Link: rapidshare.de/files/8338464/Dump_.rar.html |
|
|
Создано: 01 декабря 2005 11:12 · Личное сообщение · #9 Ошибка была в скрипте. Потестите, кому интересно. Позже выложу статью. Your Download-Link: rapidshare.de/files/8420855/Dpelock.rar.html |
|
|
Создано: 01 декабря 2005 11:34 · Поправил: Smon · Личное сообщение · #10 SergSh И полную по аспру (IcoLover) тоже плс 
А как в целом мнение ? А в сравнении с аспром ? 
Скачал, поглядел, результат отрицательный, WinXP SP2, под олей вылетает тут: 00402058 CALL dpelock.00406DB3 - > потом в 00406DD6 CALL dpelock.0041F556, а там джамп на код в USER32, в котором собственно и происходит Access Violation when reading [00000004] 
По всей видимости дело в том, что адреса импорта указаны константные
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 01 декабря 2005 13:19 · Личное сообщение · #11 Да ты прав. Похоже я чего то не до понимаю. Я невостановленную процедуру делал Delete thunk, а если сделать Cut thunk то естественно её занулит. Но ссылки на этот адрес переориентировать, то у меня в 9-х идёт но не до конца. Посмотри пожалуйста:Your Download-Link: rapidshare.de/files/8424553/Dumped_.rar.html |
|
|
Создано: 01 декабря 2005 13:29 · Поправил: Smon · Личное сообщение · #12 SergSh Запускается, но глюков завалом... About - глюк, попытка запротектить - глюк и т.п.
Как считаешь, почему ? Может из-за покриптованных блоков ? хотя вроде в демо не должно быть =) ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 01 декабря 2005 13:58 · Личное сообщение · #13 About я знал и там догадывался. Похоже это антидамп. VM приделанный в последней секции постоянно изменяется, в оригинальной проге, и похоже завязано на адресах участков в выделенной памяти. Честно сказать это сильная вещь. Пойду дальше разбираться. |
|
|
Создано: 02 декабря 2005 13:50 · Личное сообщение · #14 Вот в итоге что получилось Your Download-Link: rapidshare.de/files/8477160/Pelock.rar.html |
|
|
Создано: 02 декабря 2005 22:16 · Личное сообщение · #15 SergSh Интересно =) А по icolover полная статья будет ?
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 03 декабря 2005 00:50 · Личное сообщение · #16 SergSh пишет: VM приделанный в последней секции постоянно изменяется %)) прогу с pelock я распаковывал и никакой вм там и близко не лежало ) да и пакер староват... не юзались вроде в те времена VM в пакерах ) |
|
|
Создано: 03 декабря 2005 17:42 · Личное сообщение · #17 пришёл крутой спец mario555 и всё опошлил SergSh, молодец, хорошая работа, но вот только почему демо-версию распаковывал? |
|
|
Создано: 03 декабря 2005 19:41 · Личное сообщение · #18 Av0id пишет: пришёл крутой спец mario555 и всё опошлил и что сие значит ? тупой флейм с попыткой подъебать или я действительно неправ ? =) если последнее то давай адрес функции интерпретатора (aka VM) и какие инструкции она эмулирует. PS адрес функции динамической расшифровки просьба не предлагать, и не надо называть расшифровку виртуальной машиной %)) |
|
|
Создано: 04 декабря 2005 01:35 · Личное сообщение · #19 Никакой виртуальной машины в PELock нет, я его досконально разбирал вплодь до написания распаковщика. Куча полиморфных криптух и антиотладки - да, но VM небыло. С маркерами не разбирался - можете не спрашивать, но что-то не подсказывает что ради маркеров никто VM делать не будет =) |
|
|
Создано: 04 декабря 2005 15:25 · Личное сообщение · #20 и что сие значит ? тупой флейм с попыткой подъебать судя по всему, если человек начинает материться, значит ему больше нечего сказать Mario555, я это сказал к тому, что говорить 'вот я такой крутой, могу распаковать, а вы все ламо' может каждый, а вот SergSh, не только языком умеет чесать, но может объяснить кому непонятно есть там vm, нету там vm, какая разница?! imho, это только автору протектора известно, техника распаковки раскрыта и ладно |
|
|
Создано: 04 декабря 2005 16:39 · Личное сообщение · #21 Av0id пишет: судя по всему, если человек начинает материться, значит ему больше нечего сказать гон Av0id пишет: я это сказал к тому, что говорить 'вот я такой крутой, могу распаковать, а вы все ламо' я такое говорил ? даёшь цитату. Вообще-то я всего лишь указал на ошибку в статье (о том что VM там нету), а вот почему у тебя такая реакция на это замечание ? Av0id пишет: может каждый, ну ты же не можешь раз создал этот топик :P Av0id пишет: не только языком умеет чесать ты наверно только это и умеешь, а на счёт объяснять - это дело каждого что, когда, и на каком уровне детальности объяснять, мне что-либо из простых вещей объяснять надоело года полтора назад (собственно тогда я сам этими вещами занимался) Av0id пишет: есть там vm, нету там vm, какая разница?! imho, это только автору протектора известно ваще лол, ф мемориз =) ЗЫ повторюсь - я не начинал этот флейм, а указал ошибку в статье, с каких пор это называется "всё опошлил" %) |
|
|
Создано: 05 декабря 2005 11:06 · Личное сообщение · #22 Спасибо. Что касается о VM я убрал. Но согласитесь предложенным вариантом можно победить и VM. |
|
|
Создано: 05 декабря 2005 22:06 · Личное сообщение · #23 SergSh пишет: Но согласитесь предложенным вариантом можно победить и VM это как так ? эмулируемая команда просто выполняется, её реального опкода физически нету, он никуда не расшифровывается. |
| << . 1 . 2 . |
|
eXeL@B —› Основной форум —› pelock v1.06 |
Для печати