Написал прогу которая умеет создавать патчи, работающие по следующему принципу. Они дописывают в EXE новую секцию и в нее кидают свой код, который патчит прогу в памяти. Больше не нужно распространять craсked.exe. Данная прога генерит очень маленькие по размеру патчи.

Потестите плиз, кому не лень.

Если найдете ошибки - пишите здесь.

www.dotfix.net/soft/Inliner.rar

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Вот сделал новый движок для инлайнера. Вещь!
правда пока иконки менять не позволяет (сделаю, как время будет) и поддерживает только UPX пока хотя и детектит другие пакеры. если кто может помоч с тестированием или может рассказать методы нахождения OEP в пакерах, отличных от UPX и ASPack статическим методом (без бряков) - буду рад - пишите в мыло.

Потестите, кому не лень то, что в аттачах - класть в папку с прошлой версией инлайнера

1253968526__Inline_engine.rar

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Вечером затестим

| Сообщение посчитали полезным:

GPcH
Что ты имеешь ввиду под статическим методом..? Как это в своем алгоритме реализовать?
Имхо можно пойти двумя способами:
1. Также, как ты детектишь пакер, вбивать сигнатуры перехода на ОЕР и патчить
2. Дебажить прогу (в которую инлайн вставляется) на предмет о-о-очень длинного прыжка, точнее переход в другую секцию и патчить этот переход (ret).
Я выбрал первый путь, он быстрее
ЗЫ: Мыло твое посеял

| Сообщение посчитали полезным:

Ara
Я сейчас так и делаю, поэтому и прошу всех по возможности присылать сигнатуры разных пакеров с указанием где производится jump на oep. Один я со всеми пакерами не справлюсь - времени нет

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

вот к ACProtect последнему сделайте, там всё просто вручную патчится, т.к. по какому-то смещению в секции протектора лежит адрес OEP (без ImageBase) и ещё по одному смешению - контрольная сумма проги (там даже не crc, а простая сумма байт). Думаю програмно его патчить - тоже проблем не будет ;) а он всё же не упх или аспак какой-нить... и распаковать его - там ещё думать надо, так что наверно патчер для него кому-нить полезен будет ;)

| Сообщение посчитали полезным:

GPcH
Дык мыло давай
Потом поделишься сигнатурками?

| Сообщение посчитали полезным:

Ara пишет:
Дык мыло давай
admin[dog]dotfix.net

Ara пишет:
Потом поделишься сигнатурками?
Я же тебе уже говорил - скачай PE Tools - там штук 500 сигнатур

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH пишет:
Я же тебе уже говорил - скачай PE Tools - там штук 500 сигнатур
думаешь, у меня PETools нет? Не нравятся мне их сигнатуры. Тем более, что надо детектить еще и место перехода на OEP.
Тебе жалко поделиться что-ли? А сам хочешь, чтоб тебе все слали сигнатуры... Нельзя так, навстречу идти тож нужно.

| Сообщение посчитали полезным:

Ara пишет:
Тебе жалко поделиться что-ли?
Я использую большую часть сигнатур (90%) из PE Tools. Почему ты думаешь NEOx в гритсах в About?
А как детектить OEP и как сравнивать - это уже програмный вопрос. Не исходник же мне тебе слать Там целая функция, которая это делает и пишетсяч она не так сложно - сам напишешь, если есть желание и знания

Ara пишет:
Нельзя так, навстречу идти тож нужно.
Честно говоря я не шлю сигны потому, что они в коде все закриптованы и декриптуются с использованием пароля при запуске программы. Чтобы ты их смог применить в своих прогах мне бы пришлось тебе их декриптовать( а так как они зашиты в прогу в виде if sign=decode("fsdfsdFSdf") then label.caption=decode("sdfdfgdfgdfg"), то мне бы пришлось декриптовку делать вручную часа два) или прислать исходник DotFix'а, а это уж слишком

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

GPcH
Ясно, вопрос снят.

| Сообщение посчитали полезным: