Написал прогу которая умеет создавать патчи, работающие по следующему принципу. Они дописывают в EXE новую секцию и в нее кидают свой код, который патчит прогу в памяти. Больше не нужно распространять craсked.exe. Данная прога генерит очень маленькие по размеру патчи.

Потестите плиз, кому не лень.

Если найдете ошибки - пишите здесь.

www.dotfix.net/soft/Inliner.rar

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

А всякие Dr Web'ы, не жалуются?

| Сообщение посчитали полезным:

XaErO пишет:
А всякие Dr Web'ы, не жалуются?
На протекторы не жалуются, а тут всего лишь инлайн

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Они дописывают в EXE новую секцию и в нее кидают свой код, который патчит прогу в памяти. Больше не нужно распространять craсked.exe.

Странно. Я всегда думал, что cracked.exe делается там, где инлайн сделать проблема.

| Сообщение посчитали полезным:

Скорее не проблема, а впадлу Распаковал, пару байт изменил, запаковал и выложил

| Сообщение посчитали полезным:

Чет я не понял. Она секцию новую создет и размер остается преждним? Это как?

| Сообщение посчитали полезным:

О... уже есть бага одна, короч в менюшке при выборе пункта Exit нифига не происходит ...

| Сообщение посчитали полезным:

Я вообще чет не догнал. Он ЛОАДЕР генерит что ли ???
А причём тут тогда инлайн патч?
Жаль проверить щас не на чем. Дома потом проверю...

| Сообщение посчитали полезным:

WELL пишет:
Я вообще чет не догнал. Он ЛОАДЕР генерит что ли ???
А причём тут тогда инлайн патч?
Он генерит патч. Натравливай его потом на прогу - он в ней новую секцию создаст, дописав в нее код инлайна и переправив OEP на него, затем патч можно выкинуть. ЭТО НЕ ЛОАДЕР.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Интересная идея, молодец
Думаю exe-болванку стоит в ресурсы засунуть.

| Сообщение посчитали полезным:

GPcH
А вот те баги, которые я нашел:
Спокойно хавает адреса типа vvvvvvv и молчит, нужно вставить ограничения, и вообще поле для адреса слишком большое, не бывает таких адресов.

| Сообщение посчитали полезным:

GPcH
ПРоверю дома, т.к. там стоит НОД32 и он очеень не любит дописки в конец, думаю будет: Unknow Win32 virus

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Ну я вообще-то по другому это представлял.
Я думал ты сделаешь, как я тебе предлагал.
То есть просто создается пропатченная прога.

P.S. Щас проверил на UPX-файле. Не работает.

| Сообщение посчитали полезным:

Мне както больше подуше.
diablo2oo2's Universal Patcher [dUP]
тем более там и SnD и offset и virtual offset патчик.

| Сообщение посчитали полезным:

Здесь кажется прозвучало [quote]Она секцию новую создет и размер остается преждним?[/quote] - я хотел бы задать GPcH именно этот вопрос. Ведь упомянутый DrWeb, если не ошибаюсь, проверяет размер всего exe-шника? Или только секцию .data/.code ?

| Сообщение посчитали полезным:

nDSm пишет:
Ведь упомянутый DrWeb, если не ошибаюсь, проверяет размер всего exe-шника?
А зачем антивирю размер-то проверять?

Не вообще идея как я понял такая. Сгенеренный патч (ехе) дописывает секцию с кодом инлайна.
Размер не будет совпадать.
Это еще может послужить своеобразной защитой от рипа, т.к. "пропатчить" таким образом прогу можно только оригинальным патчем (само собой можно и посмотреть в отладчике какие байты патчатся, но не каждому риперу это будет охота)

P.S. Жаль только, что у меня эта прога не пашет =)

| Сообщение посчитали полезным:

WELL пишет:
А зачем антивирю размер-то проверять?

То есть как, зачем?

Вобще-то, не знаю как с Drweb for Windows, но с досовским я однажды поприкалывался: взял да распаковал (Там он был упакован то ли Diet'ом, то ли Exepack'ом, то ли LZEXE).

При запуске он стал пищать через писиспикер мелодию из Шерлока Холмса, и выдал сообщение, что-то типа: "Главный Модуль программы заражён!" =))

Да и сейчас, многоие антивирусы при запуске делают Self-test... И наверное это естественно: а вдруг вирус заразит сам exe'шник или dll'ку антивируса?

Вот ещё случай: пытался локализовать AntiVir Personal Edition by H+BEDV Datentechnik GmbH на русский язык. Только убедился, что все String и Dialog ресурсы я перевёл, так тот при запуске выдал, что-то вроде "размер не совпадает, вероятность заражения вирусом, переустановите"...

| Сообщение посчитали полезным:

и у меня не работает .. я на проге пакованой aspack пробовал

| Сообщение посчитали полезным:

nDSm
Так ты имел ввиду патч самого антивиря? =)
Это слишком частный случай, чтобы на это обращать внимание.
Прога эта тут вообще нипричём.
Если ты руками такой патч сделаешь эффект будет такой же.

| Сообщение посчитали полезным:

nDSm
Про антивири имелось ввиду, что они могут орать на проинлайненный таким способом (добавление секции) ехе-шник

| Сообщение посчитали полезным:

Тогда понятно, я думал имелось ввиду крякнуть DrWeb, например если вышла новая версия

| Сообщение посчитали полезным:

Пришлите мне плиз EXE и файлы проектов для них (через пункт меню Projects -> Save) - проверю, что не работает. Вообще прогу я мало тестил, так что возможена некоторая неработоспособность. Релиз я еще не делал.

PS: EXE и проекты, на которых прога не пашет слать на admin[dog]dotfix.net

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

WELL пишет:
nDSm
Про антивири имелось ввиду, что они могут орать на проинлайненный таким способом (добавление секции) ехе-шник
Хм.. не думаю. Что уже тогда секцию нельзя добавить? %)..
Да и эврист. ничего не покажет..

| Сообщение посчитали полезным:

nDSm пишет:
Здесь кажется прозвучало [quote]Она секцию новую создет и размер остается преждним?[/quote] - я хотел бы задать GPcH именно этот вопрос. Ведь упомянутый DrWeb, если не ошибаюсь, проверяет размер всего exe-шника? Или только секцию .data/.code?
По моему это тока маккофе такое проверяет.. веб обычно ep смотрит плюс пара уник. сигн..

| Сообщение посчитали полезным:

PlainTeXT
Я говорил про САМОПРОВЕРКУ. См выше.

| Сообщение посчитали полезным:

nDSm пишет:
САМОПРОВЕРКУ
Можно тоже в инлайне Запатчить м.п.

| Сообщение посчитали полезным:

PlainTeXT пишет:
Хм.. не думаю. Что уже тогда секцию нельзя добавить? %)..
А я не думаю, я знаю =) Нельзя секцию добавить =) Многие антивири начинают орать, если есть левая секция с кодом

| Сообщение посчитали полезным:

Проверил на одной проге, запакаованной AsPack 2.12. Новую секцию добавляет, все ОК,
но есть одно НО: EP проги указывает на новую секцию, т.е. сначала патчится память, затем распаковывается код
Бессмылица,все наоборот надо: сначала распаковка, затем патч, затем переход на ОЕР.
Я тоже писал подобную прогу (еще не доделал), там полюбому детектор пакеров делать надо, чтобы место перехода на ОЕР определять и менять на переход на патч.
Я уж думал, ты так и делал - хотел попросить сигнатурами пакеров поделиться

| Сообщение посчитали полезным:

Ara пишет:
хотел попросить сигнатурами пакеров поделиться
Это у GPcH есть =)

| Сообщение посчитали полезным:

Ara пишет:
Проверил на одной проге, запакаованной AsPack 2.12. Новую секцию добавляет, все ОК,
но есть одно НО: EP проги указывает на новую секцию, т.е. сначала патчится память, затем распаковывается код
Бессмылица,все наоборот надо: сначала распаковка, затем патч, затем переход на ОЕР.
Я это только сегодня утром сам понял... что не то делал... придется детектор писать... думаю, что для UPX и ASPack сделаю, для остальныйх в принципе не особо актуально

Ara пишет:
Я уж думал, ты так и делал - хотел попросить сигнатурами пакеров поделиться
Мой DotFix Fakesigner имеет дохера сиггн пакеров, но их я не распространяю. Из свободно распространяемого рекомендую сигны от PE Sniffer'а (входит в состав PE Tools) - там их много

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным: