 |
eXeL@B —› Основной форум —› Взгляните коль время есть и деньги ;-) |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 08 декабря 2005 17:11 · Личное сообщение · #1 "http://rapidshare.de/files/8815215/14.Exe.html" Лежит ехешник от одной программули, (на сайте лежит более новая версия но суть не в этом) Он работоспособный до определенного момента и этого достаточно. Там защита стоит замаскированная под ехекриптор однако версии до 1.5.0 я снимал а последующие имеют другую структуру однако peid определяет его как криптор что-то уж очень тяжело найти OEP.  |
|
|
Создано: 08 декабря 2005 17:18 · Личное сообщение · #2 Опа забыл добавить начальная точка запуска перенесена за адрес 75ХХХХ первоначально она располагалась на 401000 однако это на работоспособность не влияет. можете просто этот кусок перенести на 401000. |
|
|
Создано: 08 декабря 2005 18:08 · Личное сообщение · #3 А чтобы всех раазадорить начну процесс распаковки. Значится так. Оля детектится на все 100%. Никакие на сегодняшний день пряталки не помогают. КАК уже интересно dr регистры ловятся тоже капитально айс ручки на себя накладывает 
Extreme Dumper`ом дампится однако полученное крайне далеко от работоспособного варианта. Кстати при использовании оли можно увидеть как раз ту грозную о которой я по молодости писал как один из видов защиты от оли, оказалось нет более поздние версии ехекриптора не используют такой оригинальный ексепшион. |
|
|
Создано: 08 декабря 2005 18:15 · Личное сообщение · #4 Вот Relayer посмеется ) |
|
|
Создано: 08 декабря 2005 18:22 · Личное сообщение · #5 Да-да пусть посмотрит. А я над ним посмеюсь, если дела у него с апдейтами своего криптора доходят до того что на более новой версии проги я дохожу до оер за 5 секунд а на более старой (что прилагается к этому топику) даже остановится в секции соде остановится не могу |
|
|
Создано: 08 декабря 2005 18:26 · Личное сообщение · #6 Да ище фор Ara: я не имею в в виду на сиблюдерных прогах 1 остановку на 401000 после распаковки так называемым UPX`ом. Коли понимаете о чем я. |
|
|
Создано: 08 декабря 2005 18:26 · Личное сообщение · #7 Medsft пишет: на более новой версии проги я дохожу до оер за 5 секунд Ну а толку? =)) |
|
|
Создано: 08 декабря 2005 18:28 · Личное сообщение · #8 Дальше уже можно в интересующих меня местах инлайнпатчем... |
|
|
Создано: 08 декабря 2005 18:30 · Личное сообщение · #9 Да и вообще меня мало интересует данная прога принцип защиты интересен... что на данный момент для моего патчера нечего дать на входе именно в этой версии. |
|
|
Создано: 08 декабря 2005 18:34 · Личное сообщение · #10 Да и не его это произведение. Версия старая. |
|
|
Создано: 08 декабря 2005 19:52 · Личное сообщение · #11 Ara даже смеяться не буду Medsft де файло спер ? |
|
|
Создано: 09 декабря 2005 02:35 · Поправил: DrGolova · Личное сообщение · #12 А что защиты слабеют, так это из-за совместимости. Например первый svkp имел нехилую дровину что портила жизнь капитально, но вот незадача - для запуска дровины нужны админские права, и их сейчас ох как редко дают простым юзерам. Так что павлу пришлось откзаться и от дравера и от многих других фичей протектора, так чтааа нынешние версии свкп снимаются гораздо легче первых 
> Relayer Дэрэгой, ты уже вернулся из отпуска? а то я (и не только я) тебе писал, хотел кровные денешки тебе отдать, а в ответ отлуп - мыло переполнено. Поставь штоли антиспам какойнить, или лимит мыла увеличь 
|
|
|
Создано: 09 декабря 2005 09:24 · Личное сообщение · #13 Так..... Даже не знаю с чего начать. Во придумал. Кто научит меня ,доходчиво, как олей дойти до OEP именно в этом файле а потом сдампить (с обьяснениями (Пожалуйста в личку)) тот получит код с карточки webmoney на 10 wmz. 
Only for Relayer: Коли кто откликнется обещаю что публиковать решение не буду, мне самому этот алгоритм нужен |
|
|
Создано: 09 декабря 2005 11:00 · Поправил: Relayer · Личное сообщение · #14 DrGolova если ты хотел отдать кровные для защиты очередной партии троев - тогда это не ко мне
|
|
|
Создано: 09 декабря 2005 11:53 · Личное сообщение · #15 Не угадал. С проблемой которая имеет место я сталкиваюсь не впервые. У меня и на некоторых версиях армы комп глючит на инструкции LOCK вот я и в толк не возьму это особенность hardware моей машины (и тогда я собственно успокаиваюсь) или это защита (а вот тогда хотелось бы знать как это обойти даже за деньги -- ну любопытный я--- и могу за свое любопытсво такие деньги отдать). А вообще кое что в данной версии от вашей защиты есть но все релизы (по хронологии развития защиты) по тихому - по тихому до нужного состояния я довожу. Может это бетка какая-то 
|
|
|
Создано: 09 декабря 2005 12:25 · Личное сообщение · #16 Medsft что и метаморф с VM научился разгребать в 2ке?
|
|
|
Создано: 09 декабря 2005 12:26 · Личное сообщение · #17 Medsft Насколько я понимаю, когда ты вылетаешьна lock, твой отладчик уже запалился, и запалился он раньше, следовательно искать нужно повыше ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 09 декабря 2005 12:38 · Личное сообщение · #18 Блин обьясняю более новые версии не включая 2-ку олю (модифицированною) не видят а эта видит не логично как-то получается да и не настолько я мостак в методах детекции этого отладчика просто часто бываю в сети и если до сих пор против этого метода ничего не придумано... опять странно.
|
|
|
Создано: 09 декабря 2005 12:43 · Личное сообщение · #19 Medsft webfile.ru/678299 читай статью Марио, там есть ответы на твои вопросы ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 09 декабря 2005 13:31 · Личное сообщение · #20 Ага счас попробую... |
|
|
Создано: 12 декабря 2005 09:32 · Личное сообщение · #21 Все разобрался ну вы ребята здесь все такие крутые что 10 зеленых уже не деньги. Relayer: надо было делать не только проверку на наличие деба но и проверку на целостность исполняемого кода а так после распаковки кусков (push eax,ecx,edx, and..,xor... loop) вставляем вместо их счетчики а потом аттач к процессу (и ну... на все проверки). Да и за выходные метаморф разметаморфил.  А с lockoм так и не понял и исключение вместо него писал и просто нопил а потом забил и выше указанным способом своего добился. Хотя про эту фишку хотелось бы узнать ведь не прога нужна то была.
|
|
|
Создано: 12 декабря 2005 16:43 · Личное сообщение · #22 Medsft приятно знать что ты сделал ненужную работу там 1.5 была. причем ворованая эта версия уже два года как не используется. да и не метаморф там а полиморф. причем примитивный
|
|
|
Создано: 12 декабря 2005 17:31 · Личное сообщение · #23 Ой не злись дарагой... Ты хочешь сказать что я могу опубликовать здесь весь натив двигателя без бурды ведь все таки ворованная она быля
И не надо лохматить бабушку, 1.5.0 я снимал там этого не было. Скорее это какая-то бетка твоя была 
|
|
|
Создано: 12 декабря 2005 17:34 · Личное сообщение · #24 Шучу.... |
|
|
Создано: 12 декабря 2005 19:37 · Личное сообщение · #25 Medsft Пора писать статью, с картинками. |
|
|
Создано: 12 декабря 2005 22:49 · Личное сообщение · #26 Medsft после 1.5.0 была еще 1.5.1 и 1.5.3 насчет опубликования натива и прочея ... если ты про кишки полуторного криптора - то им сейчас ничего серьезного не защищают - все кто легальный - перешли на 2.х. тем более что переход был бесплатный. вобщем он у нас в разряде unsupported. со всеми вытекающими.
|
|
|
Создано: 13 декабря 2005 08:38 · Поправил: Smon · Личное сообщение · #27 Medsft Да, интересно было бы почитать... Во, даже название придумал подходящее - "Разполиморфование полиморфного движка ExeCryptor" или "Разметаморфование метаморфного движка ExeCryptor".... А аффтар, как я успел заметить, всегда делает акцент на том, что все исследования, относительно его детища абсолютно неактуальны - типа это всё старье, бетки, ворованные версии, и т.п. ...
----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 13 декабря 2005 09:32 · Личное сообщение · #28 Relayer Ответь обчеству пожалуйста почему в последующих версиях ты отказался от этого веселенького метода защиты от трассировки (я имею в виду LOCK) ведь на сколько я понимаю нормально т.е. под ring 3 его проити никак не получается без байт-хака а соответственно если чуть чуть напрячься полиморф=метаморф в этом участке кода можно было как бы это сказать усилить а на ring 0 повесить проверку на целостность или применить совсем древний способ с выносом этой области кода за RAM но об этом я тебе бесплатно явно не расскажу. |
|
|
Создано: 13 декабря 2005 09:51 · Личное сообщение · #29 А статей по cryptor`у полно (я имею в виду поздние версии) если в краце то одна от другой отличается более интересным способом проверки сигнатур и СС на валидность в старой было cmp в более новой через стек и все это заху..в..ч.но метаполиморфом. Интерес же для меня как видимо вызывает раннее творчество автора Очень надеюсь (лень матушка да работа мешает) что скоро зарелизю разматыватель этого морфа в части видирания из прог мусора типа находите в проге повторяющуюся последовательность ([call xxxxxxxx,..........,add esp+4],.....) или как у Relayera :s5 96.69.........00.00.....96.69) вводите эту сигнатуру и она выбрасывает эти куски из кода я думаю штука будет полезной .
|
|
|
Создано: 13 декабря 2005 10:17 · Поправил: NIKOLA · Личное сообщение · #30 Medsft пишет: А статей по cryptor`у полно (я имею в виду поздние версии) Чегото я ни одной на русском языке не встречал, а про то что полно, так мне хватит пальцев на руках пересчитать их. |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› Взгляните коль время есть и деньги ;-) |
Для печати