Итак, Sothink SWF Decompiler MX 200x (x - то ли 4, то ли 5, сказать трудно), версия исполнялки 2.1.0.0

Тип защиты: Shareware, Time Limit, Functional Limit, Registrable

Обнаружена защита типа АНТИОТЛАДЧИК и ещё кое что:

а). отладчик его не отлаживает,
б). если приаттачиться к процессу - зависает,
в). ресурсы посмотреть нельзя, пишет что зашифровано/упаковано,
г). опознать упаковщик нереально, при помощи Language 2000 удалось максимум - это компилятор, Visual C++,
д). ИДА при дизассемблировании кода ВООБЩЕ никакого не даёт (т.е. даёт какие-то 16ричные блоки типа dd 0D3B84CB5h, 125533Eh), распознать можно только импортируемые функции и ещё всякую билиберду да и то ввиде string,
е). на машине, с которой была попытка взлома установлен SoftIce, НЕ запущен, при запуске SWF Decompiler пишет, мол выгрузите отладчик из памяти, а потом запускатесь =))

Очень заинтересовали такие строчки:
"db 'IsDebuggerPresent',0", "db 'ARMDEBUG=',0", "OutputDebugStringA',0", "'OutputDebugStringW',0" (какие-то строчки ввиде ASCII и UNICODE соответстенно) и "db ' deflate 1.1.4 Copyright 1995-2002 Jean-loup Gailly ',0" - это видимо распаковщик/расшифровщик этого exe-шника, тем более что там также часто встречались слова типа unpack и extract.

Интересно было бы знать, что это за чертовщина: т.к. если бы ни она то ломай - не хочу =)))

P.S. Обрабатывался (безуспешно) программами: IDA, Olly Debugger 1.09d, W32Dasm 10 и прочими.

| Сообщение посчитали полезным:

там аспр обычный

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

АСПротект не найден, забыл сказать... (В смысле, пробовал кучу анализаторов, на ASProtect это не похоже)

| Сообщение посчитали полезным:

Армадилла там обычная а не аспр.

| Сообщение посчитали полезным:

2 DrGolova:

Уж не по строчке ли "db 'ARMDEBUG=',0" ты так решил?

| Сообщение посчитали полезным:

DrGolova пишет:
Армадилла там обычная а не аспр.
Я честно говоря и не смотрел - просто по симптомам так решил

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Нашёл дампер для Армадилло, но применить его удастся только в безопасном режиме, т.к. эта дура-программа при запуске пишет "Выгрузи Отладчик!" хотя софтайса и прочих в памяти НЕТ.

--- 20 минут спустя ---

Нет, видимо это не Армадилло, или Армадилло более позней версии чем те, которые мой дампер может понимать, т.к. он спросил меня имя экзешника, запустил и остановился с надписью "Loading victim process.."

| Сообщение посчитали полезным:

bASe_dEE

Вашу машу. Что ты с Головой то споришь? Меня порадовало:
Уж не по строчке ли "db 'ARMDEBUG=',0" ты так решил?
Есстественно, там армадилло.

| Сообщение посчитали полезным:

bASe_dEE

Пакер, протектор надо определять не по показаниям анализаторов, которых легко обмануть, а методом дебуга.

| Сообщение посчитали полезным:

Mafia32, ты бы чего-нибудь путного сказал бы... например... где найти новый распаковщик...

З.Ы. Надоело повторять, что там используются антиотладочные приёмы, не е6у какие, но такие что сосут не только анализаторы но и софтайсоиды >((

| Сообщение посчитали полезным:

Да и ещё: читать надо внимательнее: АНТИОТЛАДЧИК

| Сообщение посчитали полезным:

Да и ещё: читать надо внимательнее: АНТИОТЛАДЧИК

| Сообщение посчитали полезным:

Да и ещё: читать надо внимательнее: АНТИОТЛАДЧИК

| Сообщение посчитали полезным:

Да и ещё: читать надо внимательнее: АНТИОТЛАДЧИК

| Сообщение посчитали полезным:

Да и ещё: читать надо внимательнее: АНТИОТЛАДЧИК

| Сообщение посчитали полезным:

Да и ещё: читать надо внимательнее: АНТИОТЛАДЧИК

| Сообщение посчитали полезным:

bASe_dEE

Руками распаковывай. Какой еще распаковщик нафиг? Какой интерес от крякинга тогда? Просто один байт пропатчить и сказать, что прогу сломал... Не понимаю.

| Сообщение посчитали полезным:

Да ну... может ты ещё и UPX ВРУЧНУЮ распакуешь?!!!!! Тоже мне

| Сообщение посчитали полезным:

bASe_dEE

Ладно, мне честно говоря смешно. Почитай статеек про арму последних версий, разбирись что такое DebugBlocker, как вообще арма устроена. И вообще надо всегда думать, какие замечания делать и в какой форме. И нахер ты запостил свою фразу столько раз? А твое описание протектора это, извини, такой детский сад. Антиотладчик и ресурсы просматривать нельзя, бля.

| Сообщение посчитали полезным:

Armadillo там. Я распаковывал как-то...
Хитрая защита =) LOL

| Сообщение посчитали полезным:

bASe_dEE

Ты давай полегче тут. Думай с кем разговариваешь. А арму олькой снимают и никаких проблем.

| Сообщение посчитали полезным:

Продолжай снимать арму олькой... а за посты извини, браузер клюканул... И я не спорю, что это арма....

| Сообщение посчитали полезным:

bASe_dEE

Ты зря про ольку говоришь с иронией. Я так думаю, что большинство крякеров уже снимают именно ей. А Hex вообще идой =) Мозг, ты сайсом снимал?

| Сообщение посчитали полезным:

Да, я сайсом. Уважаю чужие предпочтения, но я сам только за айс и иду =)

| Сообщение посчитали полезным:

Позравляю... Сам забил на эту защиту, понял что Armadillo определяет наличие софтайса не по сервису, а через реестр, и функций там (в этом SWFD) столько, что восстановить их импорт будет нереально...

Удалил счётчик из реестра, написал автоубиралку нага - и не парюсь.

Спасибо за обсуждение, всем респект

| Сообщение посчитали полезным:

Народ, может не в тему будет сказано, но где найти какой-нить тутор по вправлению мозгов пакованой проге (ипреком), после того как сделал с неё дамп?

| Сообщение посчитали полезным:

nDSm пишет:
Народ, может не в тему будет сказано, но где найти какой-нить тутор по вправлению мозгов пакованой проге (ипреком), после того как сделал с неё дамп?
На www.dotfix.net зайди и почитай мой тутор по распаковке UPX Shit

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

nDSm пишет:
Народ, может не в тему будет сказано, но где найти какой-нить тутор по вправлению мозгов пакованой проге (ипреком), после того как сделал с неё дамп?
Да почти любой статье про распаковку

| Сообщение посчитали полезным: