| Сейчас на форуме: Rio (+10 невидимых) |
 |
eXeL@B —› Основной форум —› Packed with Invius v1.0a |
| Посл.ответ | Сообщение |
|
|
Создано: 16 июня 2006 17:12 · Личное сообщение · #1 Интересный прот! Хотелось бы услышать мнения!  d561_16.06.2006_CRACKLAB.rU.tgz - Packed with Invius v1.0a.rar
 |
|
|
Создано: 16 июня 2006 17:35 · Личное сообщение · #2 чичас посмотрим.. будешь продолжать анпак-опус? =) ----- Тут не могла быть ваша реклама |
|
|
Создано: 16 июня 2006 17:53 · Личное сообщение · #3 Ну там не только анпак  кто желает и закейгенить может!
|
|
|
Создано: 16 июня 2006 18:02 · Поправил: lord_Phoenix · Личное сообщение · #4 начальный код жгет, куча циклов и рдтсц =) самая интересная часть после blockinput и createprocess UPD: db "stop reversing my protector right now! ",0 жгет)
----- Тут не могла быть ваша реклама |
|
|
Создано: 16 июня 2006 18:45 · Личное сообщение · #5 А это у всех так в списке модулей user32.dll записан как UsEr32.DLl? Раньше такого не видел! ----- Nulla aetas ad discendum sera |
|
|
Создано: 16 июня 2006 18:48 · Личное сообщение · #6 ну на доисторических виндах, как обычно не работает 
самое прикольное, пе-ид, говорит что это themida 
----- [nice coder and reverser] |
|
|
Создано: 16 июня 2006 18:54 · Личное сообщение · #7 Hellspawn will only run on Win2k or newer
|
|
|
Создано: 16 июня 2006 18:58 · Личное сообщение · #8 Hellspawn пишет: самое прикольное, пе-ид, говорит что это themida а чего в этом прикольного =) pavka где ты раскопал прот то? ----- Тут не могла быть ваша реклама |
|
|
Создано: 16 июня 2006 19:06 · Личное сообщение · #9 Прота самого нет! Чел как я понял ишет хостинг что выложить его! Packed with Invius v1.0a (written by me). Unpacking this should be a challenge. I am looking for a place to host Invius online. If you are willing to host the program, please contact me |
|
|
Создано: 16 июня 2006 19:49 · Личное сообщение · #10 lord_Phoenix пишет: UPD: db "stop reversing my protector right now! ",0 жгет) ага, а немного ниже "Error, Windows self destructing in 5 seconds" тоже жжот
|
|
|
Создано: 17 июня 2006 14:12 · Личное сообщение · #11 Снова китайцы? А какого года протектор? |
|
|
Создано: 17 июня 2006 15:50 · Личное сообщение · #12 Полагаю, изначально было выложено как крякми/кейгенми здесь www.reversing.be/article.php?story=2006061115563446 Прот вообще довольно злой, Блок инпут постоянно делает, 2 процесса создаёт, а там ещё потоки плодит. Походу дебажит сам себя ибо первый процесс периодически считывает и записывает контекст, а будучи запущен как 1 процесс схватывает Анхендлд эксепшн и валится. |
|
|
Создано: 17 июня 2006 18:54 · Поправил: Rascal · Личное сообщение · #13 А как лагает-то прога
Народ, у кого-нить от плагина OllyAdvanced оля тормозит компьютер? у меня весь комп вешается, съедает 85% процессора ----- Недостаточно только получить знания:надо найти им приложение |
|
|
Создано: 17 июня 2006 20:27 · Личное сообщение · #14 Это из за включеной опции Emulate RDTSC, это дравина всё... Выруби опцию, если эмуляция RDTSC не нужна, а когда понадопится - врубай. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 17 июня 2006 21:39 · Поправил: Archer · Личное сообщение · #15 Ещё поковырял прот этот. Помимо всяких гадостей типа BlockInput, он запускает 2 процесса, валит парочку эксепшенов, первым из процессов их хэндлит (и меняет контекст) и идёт исполнение самой проги. ОЕП вроде 401100, написано на С. Фигня в том, что для всех АПИ аллочится отдельная память, а там случается эксепшн, который опять-таки сам он и хэндлит и устанавливает контекст на нужную АПИ. Короче, АПИ вызываются через отладку самого себя. Алгоритм там, кстати, простенький, вполне можно скрипт накатать для восстановление ИАТ и отвязки таким образом от отладчика. В общем весьма похоже на Beria 0.07 public, что в статьях лежит. Задолбало ковырять, пойду спать.
|
|
|
Создано: 18 июня 2006 09:32 · Личное сообщение · #16 Хм... Я чет не вижу тут особой схожести с Beria , скорее похоже на IMP-Packer 1.0 правда там все на много проще !
|
|
|
Создано: 18 июня 2006 11:00 · Личное сообщение · #17 Посмотрел я сабж. Нифига там не алочится. Всё происходит в одной (первой) заалоченой памяти. Туда прот извлекает своё тело и раскриптовывает. Если сдампить эту область, то дамп можно спокойно открыть в PE Tools. Там две секции UPX0 и rsrc. В жертве все переходники нормальные, но вызывают они как раз тело прота. В теле происходит настройка хэшей и выполняется инструкция HLT, что приводит к исключению привилигированой инструкции. Ну а дальше прот действительно меняет контекст процесса. Причем в отладочном цикле в ESP+8 находится начало ИАТ. Т.е. прот всю ИАТ держит на стеке, поэтому восстановить не составит труда. Но у меня большие сомнения на счет того, что это прот. Весь код жертвы поделен на шифрованые блоки примерно одинакового размера. В начале каждого блока находится дешифровщик, а в конце шифровщик. Т.е. код писался с помощью крипто макросов, причем программер точно должен был знать где открывать макрос, а где закрывать. Т.е. либо код проверки написан на АСМе, причем программер неплохо разбирается в откомпиленом коде, либо это и есть сам прот, от начала и до конца защищенный руками, тогда это объясняет, почему автор не выкладывает своё творение. ----- Yann Tiersen best and do not fuck |
|
|
Создано: 18 июня 2006 11:03 · Личное сообщение · #18 PS Насчет жжет, он в при загрузке загружает Kernel32.dll через LoadLibraryA, хотя она есть у него в IAT
----- Yann Tiersen best and do not fuck |
|
|
Создано: 18 июня 2006 11:17 · Личное сообщение · #19 PE_Kill .... Всё происходит в одной (первой) заалоченой памяти. Туда прот извлекает своё тело и раскриптовывает Говоря про IMP-Packer 1.0 я это и имел ввиду ;) |
|
|
Создано: 18 июня 2006 11:40 · Личное сообщение · #20 |
|
|
Создано: 18 июня 2006 13:10 · Личное сообщение · #21 Да совсем забыл изначально, где оно было выложно (Packed with Invius ) присвоен статус
6 - Hard, for very professionals only |
|
|
Создано: 18 июня 2006 14:11 · Личное сообщение · #22 Ну тады надо поломать, и стать профессионалом! ----- Yann Tiersen best and do not fuck |
|
|
Создано: 18 июня 2006 15:43 · Личное сообщение · #23 На БИВРевёрсинг он был выложен под сложностью 7. Вот распаковал я эту шнягу, кейгеньте, кому хочется. Секции прота обрезал, вроде всё пашет. 3cef_18.06.2006_CRACKLAB.rU.tgz - file.exe
|
|
|
Создано: 18 июня 2006 15:54 · Личное сообщение · #24 Алгоритм глянул, проверка ключа там идёт в отдельном потоке, алгоритм немаленький, кейгенить лениво, а патчится влёгкую. А сам прот в общем ничего особенного, если посидеть и поразбираться. |
|
|
Создано: 18 июня 2006 17:12 · Личное сообщение · #25 Вот распакованный файлик от IMP-Packer 1.0, который pavka выкладывал, вдруг кому пригодится. На мой взгляд он гораздо проще и вообще никаких проблем не вызывает. d9da_18.06.2006_CRACKLAB.rU.tgz - file.rar
|
|
|
Создано: 18 июня 2006 19:05 · Личное сообщение · #26 Имхо все же чел написал достаточно оригинальный прот! Ну а если посидеть и поразбиратся много чего поснимать можно ;) Archer Да если не смотрел Hyper выложил UnpackMe2 то же интересно! |
|
eXeL@B —› Основной форум —› Packed with Invius v1.0a |
Для печати