Собственно сабж. Какие алгоритмы реализованы в этом ключе, "стандартные" либо самопальные?

| Сообщение посчитали полезным:

а смысл собирать разные версии lib? ты хочешь сигнатуры для каждой версии составить?

есть способы проще - infern0 описал один, еще если посмотреть .lib в IDA то можно увидеть десяток подряд идущих jmp на функции API - это тоже можно использовать для опознования API

| Сообщение посчитали полезным:

Smon

Rockey5 и Rockey6

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

ssx пишет:
это тоже можно использовать для опознования API
есть один нюанс - в зависимости от типа компилера внешний код может либо вызывать call на эти jmp либо делать call на точку назначения jmp. Во втором случае мой способ более приемлим.

| Сообщение посчитали полезным:

чем сигнатурами баловацца - лучше бы usb проткол изучили

-----
The one derivative you manage is the one I abhore (c) Slipknot

| Сообщение посчитали полезным:

Chingachguk, а фишка в чем?

| Сообщение посчитали полезным:

ssx пишет:
есть способы проще - infern0 описал один
Мне доводилось встречать функции, не описаные Infern0

ssx пишет:
а смысл собирать разные версии lib? ты хочешь сигнатуры для каждой версии составить?
Можно и сигны--тупо и надёжно, но только для известных версий. А можно продолжить исследования Infern0 (эвристика тобишь--для версий неизвестных )

ssx пишет:
можно увидеть десяток подряд идущих jmp на функции API
Хм, мне далеко не всегда доводилось их видеть. Я даже думал, что в новых версиях их убрали.
Впрочем, Infern0 прояснил ситуацию:
infern0 пишет:
в зависимости от типа компилера внешний код может либо вызывать call на эти jmp либо делать call на точку назначения jmp.
Добавлю, что даже call на точку назначения в разных файлах одной проги может делаться на разные точки.

PS
Помогите идентифицировать эту функцию (АПИ 4.xx):
push ebp
mov ebp, esp
push ebx
push dword ss:[ebp+8]
push 2
call
mov eax, ss:[ebp+c]
mov ds:[ ],al

| Сообщение посчитали полезным:

Chingachguk пишет:
лучше бы usb протокол изучили
Давно уже изучен. И эмуляторы шины написаны и для Stealth I, и для Stealth II и для Stealth III

| Сообщение посчитали полезным:

0xy пишет:
Помогите идентифицировать эту функцию (АПИ 4.xx):
push ebp
mov ebp, esp
push ebx
push dword ss:[ebp+8]
push 2
call
nskTransformEx

| Сообщение посчитали полезным:

AlexVel пишет:
nskTransformEx
Ух ни куя се! А я т надеялся прогу без ключа сломать...

| Сообщение посчитали полезным:

0xy пишет:
Мне доводилось встречать функции, не описаные Infern0
Можно пример?

Даже не зная прототипов функций, используя в паре с дебаггером novex logger, можно быстро найти и идентифицировать большинство функций guardant.

| Сообщение посчитали полезным:

Larry пишет:
0xy пишет:
Мне доводилось встречать функции, не описаные Infern0
Можно пример?
Ну, к примеру, PS в моем посте, из которого эта цитата Кстати, непонятка: AlexVel говорит, что это TransformEX, а Infern0--что Read

Также встречаются АПИ-пустышки типа:
push ebp
mov ebp, esp
push dword ss:[ebp+8]
push [ ]
pushfd
sub dword ss:[esp+4],4
popfd
ret

| Сообщение посчитали полезным:

0xy пишет:
push [ ]
pushfd
sub dword ss:[esp+4],4
popfd
ret
а тебе не кажется что это на самом деле jmp?

| Сообщение посчитали полезным:

0xy пишет:
Ну, к примеру, PS в моем посте, из которого эта цитата Кстати, непонятка: AlexVel говорит, что это TransformEX, а Infern0--что Read
нет. вот цитата из статьи infern0:
nskTransform/nnkTransform:
push ebp
mov ebp, esp
push dword [ebp+8]
push 2
call ...

| Сообщение посчитали полезным:

ssx пишет:
нет. вот цитата из статьи infern0:
nskTransform/nnkTransform:
push ebp
mov ebp, esp
push dword [ebp+8]
push 2
call ...

0xy пишет:
push ebp
mov ebp, esp
PUSH EBX
push dword ss:[ebp+8]
push 2
call
Разные вещи, однако

| Сообщение посчитали полезным:

ssx пишет:
а тебе не кажется что это на самом деле jmp?
Гы, действительно, эт я прокололся
Тогда имеем:
push ebp
mov ebp, esp
push dword [ebp+8]
push 0bh
call ...
mov al, [ebp+c]
Этого тоже нет в статье Infern0 (хотя похоже на Read).

| Сообщение посчитали полезным:

0xy пишет:
push ebp
mov ebp, esp
push dword [ebp+8]
push 0bh
call ...
mov al, [ebp+c]
Этого тоже нет в статье Infern0 (хотя похоже на Read).
Это Read. Если берут какие-то сомнения, то смотри вызов этой функи (какие параметры передаются, а главное - сколько их)

| Сообщение посчитали полезным:

0xy пишет:
AlexVel говорит, что это TransformEX, а Infern0--что Read
Мэтр Infern0 ошибся. Это 100% TransformEX

| Сообщение посчитали полезным:

push dword [ebp+8] - это откуда взять данные вопроса (?)
push 0bh - это определитель алго
Так?

| Сообщение посчитали полезным:

Нет
push 0bh - это внутренний номер функции
в данном случае:
#define nsc_ReadUAM 3
#define nsc_ReadBytesUAM (nsc_ReadUAM +8)

| Сообщение посчитали полезным:

AlexVel пишет:
push 0bh - это внутренний номер функции
сорри не то хотел сказать... это номер алго, которому отсылается значение

AlexVel пишет:
#define nsc_ReadUAM 3
#define nsc_ReadBytesUAM (nsc_ReadUAM +8)
это откуда?

| Сообщение посчитали полезным:

это из SDK

| Сообщение посчитали полезным:

теперь понятно
0bh -
#define nsc_ReadBytesUAM (nsc_ReadUAM +8) /* PrivateRead : Read block of bytes (UAM) */
получается что это read а не трансформ?

| Сообщение посчитали полезным:

AlCr0 пишет:
получается что это read а не трансформ?
Ну дык это и есть Read.
А предыдущий был TransformEX

| Сообщение посчитали полезным:

Дак Stealth II все таки взломан или нет?

| Сообщение посчитали полезным:

Yokel
Таки ж сказали, что только таблично, равно как и SIII.

-----
старый пень

| Сообщение посчитали полезным:

r_e Что значит таблично ???

| Сообщение посчитали полезным:

Yokel пишет:
Что значит таблично ???
А то и значит что под каждую прогу собирается таблица вопрсов-ответов, поменялась версия проги собирай заново таблицу...
Господа может все таки кто то поделится логгером под дрова 5 и выше тобиш с использованием новых функций?

| Сообщение посчитали полезным: