 |
eXeL@B —› Основной форум —› Как я снимал Guardant. Ненаучная фантастика. |
| Посл.ответ | Сообщение |
|
|
Создано: 06 ноября 2006 05:52 · Поправил: Vintersorg · Личное сообщение · #1 Попалась некая программа, защищенная Guardant'ом. Программа писана на Delphi, запакована UPX'ом (скорее всего, 1.24) и обработана каким-то скремблером (предположительно HidePX, но могу и ошибаться), после чего на нее был навешен Guardant'овский конвертик версии 4.46. Envkiller от infern0 снял конверт некорректно. Теперь, в общем-то, самое интересное: я влез в экзешник программы HIEW'ом, изменил EP на EP UPX'а, нашел в файле оригинальную таблицу импорта, прикинул на глаз ее длину и «прикрутил» таблицу к экзешнику путем изменения полей RVA и Size импорта в PE Directory Structure, после чего отрезал секцию гвардантовского конверта и подкорректировал некоторые поля в экзешнике. Программа запустилась на «ура». При помощи PE Tools и ImpRec'а без всяких проблем распаковал UPX'нутый экзешник, после дальнейшего выдирания обращений приложения к ключу и вклеивания в экзешник недостающих кусков кода (читаемых приложением с ключа), все стало совсем шоколадно =). Честно говоря, мне не дает покоя вопрос: почему мне удалось снять конверт таким идиотским способом? В ручной распаковке я зеленый новичок, хотелось бы услышать мнение отцов, имевших дело с Novex'овской пакостью.... Я думал, конвертик по идее должен что-то расшифровывать... И еще. Вопрос, понимаю, ламерский, но просьба все-таки проявить снисхождение: как снять конверт имея ключ (имеется в виду "нормальный" способ)? Возможности взять ключ домой у меня нет, а там, где он есть, работать приходится соблюдая конспирацию, да еще и время жестко ограничено.  |
|
|
Создано: 06 ноября 2006 11:21 · Личное сообщение · #2 Vintersorg пишет: почему мне удалось снять конверт таким идиотским способом? а ты уверен что конверт там вообще был? я нет. Vintersorg пишет: как снять конверт имея ключ (имеется в виду "нормальный" способ)? Возможности взять ключ домой у меня нет, а там, где он есть, работать приходится соблюдая конспирацию, да еще и время жестко ограничено. а ты попробуй. под чутким руководством конверт гварданта снимал человек, держащий дебаггер в руках второй раз в жизни. |
|
|
Создано: 06 ноября 2006 22:27 · Личное сообщение · #3 Vintersorg пишет: И еще. Вопрос, понимаю, ламерский, но просьба все-таки проявить снисхождение: как снять конверт имея ключ (имеется в виду "нормальный" способ)? Возможности взять ключ домой у меня нет, а там, где он есть, работать приходится соблюдая конспирацию, да еще и время жестко ограничено. Здесь статьи почитай www.dongla.net |
|
|
Создано: 07 ноября 2006 03:09 · Личное сообщение · #4 Помню ломал прогу с этими ключами, у меня тогда вообще инета ещё небыло и про тулзу от Инферно я не знал. Пришлом алгоритм изучать шифроки в novex32.dll самому потом писать дешифровщик, хорошо что знал как выглядят первые 4 байт, прога ж тоже на Дельфи была написана. ----- Никто не знает столько, сколько не знаю я |
|
|
Создано: 07 ноября 2006 11:29 · Личное сообщение · #5 ssx Конверт был, это совершенно точно. И Envkiller его снимал, правда, некорректно. Nemo Большое спасибо за линк. Satanael Так что же все-таки расшифровывает конверт Guardant? Что там в экзешнике шифруется при навешивании конвертика? |
|
|
Создано: 08 ноября 2006 02:13 · Личное сообщение · #6 1 раз я снял экзекриптор плагином автораспаковки от пейда..... тоже долго удивлялся... просто повезло - вот и весь ответ...))) |
|
|
Создано: 08 ноября 2006 03:36 · Личное сообщение · #7 Vintersorg пишет: Так что же все-таки расшифровывает конверт Guardant? Что там в экзешнике шифруется при навешивании конвертика? шифруются все секции |
|
|
Создано: 10 ноября 2006 02:51 · Личное сообщение · #8 Vintersorg В моей первая секция шифровалась, ну ещё у меня несколько переменных были зашифрованы в секции .Data их значения я из демо скопировал. ----- Никто не знает столько, сколько не знаю я |
|
eXeL@B —› Основной форум —› Как я снимал Guardant. Ненаучная фантастика. |
Для печати