В общем долго я думал, как бы защиту по навороченней написать, крякми свой второй улучшить и пришло мне в голову несколько интересных идей, которые я и реализовал в версии 1.8 своей проги DotFix FakeSigner. У кого есть желание попытаться сломать данное - прога лежит на моем сайте.
Чтобы прога обрела полезность для крякеров я решил внести в нее определитель компилятора/упаковщика и диалог информации о PE файле. То есть прогу теперь можно использовать вместо PEiD (хотя PEiD содержит побольше сигнатур, но основные я внес). Также убрал проверку SoftICE и Trial, то есть то, что никому не нравилось в проге. Надеюсь, что новая версия окажется полезна большему кругу людей.

Если найдутся те, кто все же крякнет или закейгенит прогу - пишите здесь (если конечно есть время и желание ломать). Сразу скажу, что сломать будет посложнее чем предыдущие версии.

Размер проги: 250 kb
URL: www.dotfix.net/soft/DotFix%20FakeSigner.rar

PS: Это не реклама, просто крякми заломало меня новый писать, а защита тут мощная. Может кто сломает? Если конечно есть желание ломать VB. сразу скажу - аспр юзается лишь как упаковщик и его снять легко.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
сразу скажу - аспр юзается лишь как упаковщик и его снять легко. Сомнительно, как упаковщик лучше юзать к примеру UPX и ты об этом прекрасно знаешь )

| Сообщение посчитали полезным:

GPcH
Как заказывали ;)
hice.antosha.ru/df_cr.rar

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice пишет:
Как заказывали ;)
http://hice.antosha.ru/df_cr.rar http://hice.antosha.ru/df_cr.rar

Только распаковал и надпись зарегистрировано сделал?
1. Чето сигнатур все равно 30, а не 204 (а в реганной версии их именно столько становится)
2. Криптовка OEP заблокирована

Недоломал ты его видимо ;) А так, для начала нормально.

Расскажи плиз всем, как аспр снимал, а то чето все думают, что в VB он сложно снимается

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Ara пишет:
Сомнительно, как упаковщик лучше юзать к примеру UPX и ты об этом прекрасно знаешь )
Ну UPX вообще легко распаковать. Здесь хоть интересно попариться с распаковкой

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
а то чето все думают, что в VB он сложно снимается
это кто такие все ?
Там наоборот с вб снять элементарно...

| Сообщение посчитали полезным:

Mario555 пишет:
Там наоборот с вб снять элементарно...
Вот и я про это. Там ни VM, ни извратов с импортом нет, а stolen bytes вообще по минимуму

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
Так ты бы сказал про ограничения я ж не телепат.
ПРога после 2байт сама думает, что она зарегина никакие надписи я не менял

Снимается так:
1. Проходите по Shift+F9 раз 20 (кол-во не критично)
2. Жмём Alt+M (переходим в Memory map)
находим msvbvm60 у меня лежит по адресу 6a9d1000
закрываем Memory map
встаем в секции кода, жмём Ctrl+g -> 6a9d1000 (Enter)
жмем Ctrl+n находим ф-ию ThunRTMain переходим на неё:
6A9DDE3E > 55 PUSH EBP
6A9DDE3F 8BEC MOV EBP,ESP
6A9DDE41 6A FF PUSH -1
6A9DDE43 68 809D9E6A PUSH msvbvm60.6A9E9D80
6A9DDE48 68 34FDAB6A PUSH msvbvm60.6AABFD34
6A9DDE4D 64:A1 00000000 MOV EAX,[DWORD FS:0]
6A9DDE53 50 PUSH EAX
6A9DDE54 64:8925 00000000 MOV [DWORD FS:0],ESP
6A9DDE5B 51 PUSH ECX
6A9DDE5C 51 PUSH ECX
6A9DDE5D 83EC 4C SUB ESP,4C
6A9DDE60 53 PUSH EBX
6A9DDE61 56 PUSH ESI !!СЮДА ПО F2 СТАВИМ БРЯК!!
6A9DDE62 57 PUSH EDI
Отпускаем программу и бряка срабатывает в нашей Длл
дампим, востанавливаем импорт
востанавливаем ОЕР (завалено мусором)
ОЕР обычно вида:
PUSH 00xxxxxx - это значение можн онайти прям в ThunRTMain
чуть ниже бряка
CALL ThunRTMain

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice пишет:
жмём Ctrl+g -> 6a9d1000
а не проще Ctrl+g -> ThunRTMain

| Сообщение посчитали полезным:

Mario555
Так это, пытался показать весь процесс

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

GPcH пишет:
Расскажи плиз всем, как аспр снимал, а то чето все думают, что в VB он сложно снимается
он там легче всего снимается, даже в импорте эмулировать НЕЧЕГО!

| Сообщение посчитали полезным:

Подумал я подумал и решил поподробнее изучить защиту аспра в VB. Поглядел я несколько VB прог закриптованных аспром 2.0 и решил замутить тулзу для восстановки stolen bytes и и правки OEP. Теперь аспр распаковывается за минуту.

1. Делаем дамп на ThunRTMain с помощью Olly Dumper'а
2. Прогоняем нерабочий дамп через мою программу

URL: reversing.dotfix.net/UnVbAspr.rar
Size: 13 kb

Потестите, кому не лень.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Ну что, Nice? Не получилось снять ограничения в проге? Напиши, если крякнешь, OK?

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
Надо сразу писать сейчас не знаю когда сяду за неё могет в конце недели

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Всем привет!!!

Взял в магазине диск на прогкат, установил прогу, диск на виртуалку скинул, запускаю прогу, а она просит диск, ну я думаю, что Вы поняли, что стоит какая-то защита, так как диск читается без ошибок. Если кто сталкивался с этим, помогите, плиз. Да, ксати, может быть есть прога, которая может это сделать (Виртуалка) и поэкономнее место расходовала. Заранее всем благодарен.

| Сообщение посчитали полезным:

Sanya
рекомендую тебе создавать новую тему в таком случаее, описать подробно что за диск, ЧТО ТЫ ПЫТАЛСЯ С НИМ СДЕЛАТЬ И Т.П., а не втюхивать свою беду в первую попавшиюся тему

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

lol

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH Я крянул "DotFix FakeSigner". регистрирует с любыми
данными в 5 полях .Выложить?

| Сообщение посчитали полезным:

test
Проверь кол-во сигнатур, в демки их, кажется 30, а в регеной около 200

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice 204 сигнатуры - все

| Сообщение посчитали полезным:

test пишет:
Выложить?
Выкладывай ;)

| Сообщение посчитали полезным: