Доброго времени суток всем!
Принесли мне тут недавно одну програмулинку с просьбой обломить все эти надоедливые сообщения о триале! Глянул на прогу,( дистриб тут: www.cgpsmapper.com/download/PersonalSetup.exe) ну вроде понятно: arma! Версия очевидно 4! Такого еще не ломали... Посмотрел статьи на этом сайте по взлому армы и начал!
1. Зная что арма определяет дебагер, для начала скрыл дебагер (имя exe, хэндл, плагины подправил чтоб цеплялись в олли и т.п.)
2. Поставил бряку памяти как в статье у нарвайи
3. запускаем....
4. куча эксепшенов (типа prefix lock и ??? за ним, Access violation when writing to...)
5. и вот вроде oep: 7C91084B 55 PUSH EBP. Нет! не похоже! адрес не тот! Смотрим что же по этому адресу в памяти - зона kernel32.dll
6. Ладно... жмем shift+F9 и... прога тупо прерывается.
7. Повторяем. доходим до этого же места и жмем просто F9. то же самое!
Покрутив опции дебагера и добившись все того же результата, интерес ко взлому этого вырос настолько, что простое удаление ключа при помощи RTKF никак не устраивало! Пришлось вот писать сей топик ибо с таким еще не сталкивался, а вот как это обломить узнать хочется....
Стоит отметить, запускал прогу и пытался к ней приаттачится дебагером (вроде все должно быть распаковано) и найти oep руками, не вышло! почему? сами посмотрите...
Вообщем, помогите кто чем может...

| Сообщение посчитали полезным:

Hill пишет:
запускал прогу и пытался к ней приаттачится дебагером (вроде все должно быть распаковано) и найти oep руками, не вышло! почему?

Читай про арму с Debug blocker+Nanomites.

| Сообщение посчитали полезным:

OEP = 4D6A1E
Microsoft Visual C++ 7.0

| Сообщение посчитали полезным:

Hill, родной, явно видно, что с твоим уровнем распаковка этой проги тебе не по зубам, даже слюбезно продоставленным gegter OEP. Если она тебе сильно нужна, положи ее пожалуйста в запросы на взлом, не ем.

| Сообщение посчитали полезным:

Sey пишет:
Hill, родной, явно видно, что с твоим уровнем распаковка этой проги тебе не по зубам, даже слюбезно продоставленным gegter OEP

Я не думаю что он создал эту тему для того чтобы ему просто тупо дали OEP! Ты сам хоть распоковывал Арму? Там помимо OEP надо и импорт восстановить... Я уж не говорю о дополнительных защтах...

Hill
Для начала советую найти прогу Armadillo find protected by Vel, она поможет тебе определить тип защиты, стандартная защита имеет две защиты:
1. Антидебаг
2. Попорчен IAT
Есть и дополнительные защиты:
3. Debug-Blocker (Есть ещё дополнительная опция - Copy Mem)
4. Import Table Elimination
5. Strategic Code Splicing
6. Nanomites
Пока тебе лучше начать со Standard protection, там только первые две опции
Так-же существуют автоанпакеры, одни из самых лучших это ARM stripperX v0.1 by BiT-H@ck и dilloDIE 1.6 by mr_magic, но лучше научиться распаковывать самому Также есть видео туторы, там всё подробно описано, ссылки я непомню, но я видел только Standard protection и Debug-Blocker. Если бубут вопросы, обращайся

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет: для того чтобы ему просто тупо дали OEP
я умно давал... он не мог найти oep я ему его дал, а далее он сам...

daFix пишет: определить тип защиты
!- Protected Armadillo - Signature = FCCCF048
Protection system (Professional)
!- <Protection Options> Debug-Blocker & Enable Import Table Elimination & Enable Nanomites Processing
впрочем это и так видно
!- <Backup Key Options> Variable Backup Keys
!- <Compression Options> Best/Slowest Compression

| Сообщение посчитали полезным:

Ну во первых сразу писал, что с таким не сталкивался! До этого были MMBrowser, NewTech Lightwave, и что-то еще по мелочи... а вот арма да еще и версии 4.48....
Во-вторых - охота все сделать самостоятельно: без анпакеров, заранее известного oep, не в обиду gegter'у, и уж тем более не хочу чтоб её за меня ломали...
В-третьих топик создал чтобы помогли разобраться где я ошибся! А так не понятно где не спрятался, чаго не включил... Вот gegter к примеру получил oep, а как не написал... подробный тутор ни к чему а вот что включить/выключить, каким плагом воспользоваться можно было б написать... Ведь даже зная oep все равно возникнуть проблемы с тем же дебаг блокером...
Однако gegter'у, и daFix'у большой thanks за помощь!

| Сообщение посчитали полезным:

gegter

Незнаеш какая это версия? Походу поновее 4.48 Как ты добрался до OPE? У меня тоже накрывается процесс Там походу в этой версии разработчики что-то новое придумали...

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Там походу в этой версии разработчики что-то новое придумали...
Ниче там нового... 2 раза обходим OpenMutexA, Бряк на CreateRemoteThread и по F8 до call ecx. 5 секунд...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Сломал я эту прогу на заказ где-то годик назад, получилась смесь routed и personal версий... вообщем прога мутная, с проверками на распакованность при компиляции больших карт и т.п.

| Сообщение посчитали полезным:

Hill пишет:
Принесли мне тут недавно одну програмулинку с просьбой обломить все эти надоедливые сообщения о триале!
Mario555 пишет:
Сломал я эту прогу на заказ
Жидопрога эта всем не дает покоя - многие хотят шекелей

| Сообщение посчитали полезным:

ога, кстати про неё давно не слышно было, а тут за последний месяц уже не первый раз (не только на краклабе)... видать появился кто-то кто активно её ищет через все возможные пути =) Что и неудивительно, ведь route версия стоит больше 2к евров.

| Сообщение посчитали полезным:

да нафиг мне раут? там вообще через фингерпринт! такое хрен сломаешь... что дали то и ломаю!
Блин попросишь помощи а в результате обсмеют по полной...

| Сообщение посчитали полезным:

Hill пишет:
такое хрен сломаешь...
ты просто не умеешь их готовить (ц)

| Сообщение посчитали полезным:

Hill, и я про тоже: на форуме хоть спарашивай, хоть нет - толку никакого! Перевелись спецы в этом деле... Только и умеют в гугль посылать!

| Сообщение посчитали полезным:

Mario555 пишет:
ты просто не умеешь их готовить (ц)
Может рецептиком поделишься?!.. Готовить мы очень любим...

| Сообщение посчитали полезным:

RamMerlabs пишет:
Перевелись спецы в этом деле
Да нет не перевелись... просто каждый сам должен доходить до спеца а не чьими то руками... но вот помочь "начинающим" могли бы... вот gegter дал мне oep - помог начинающему... но опять таки лучше бы подсказал как избежать обнаружения! Я тут покрутил и стало понятно что у проги создается чайлд который и проверяет все на бряки... надо как-то от него избавится...

| Сообщение посчитали полезным:

Hill пишет:
создается чайлд который и проверяет все на бряки... надо как-то от него избавится...

ставь брейк на WriteProcessMemory. Там будет запись в EP child process 2-х байтов. Замени их на EB FE (бесконечный цикл). Дойди до места когда child запустится, узнай его PID. Потом в parent выполни такой код

push PID
DebugActiveProcessStop

чтобы это выполнить нужно сидеть на WinXP

после этого можешь подключаться к child

но это и правда везде описано, так что насчет гугла правильно посылают

| Сообщение посчитали полезным:

Hill

Для чего прога и сколько весит?

| Сообщение посчитали полезным:

дистриб 5.4 метра!
сам не юзал! известно одно создает карты для GPS!

Кстати я пратял олю ручками! оказывается плагины есть...

| Сообщение посчитали полезным:

Hill пишет:
оказывается плагины есть...

Марс,марс, приём!
Для оли дебаговой появились плагины.
Как слышите меня? приём.

Ну,а если серьёзно, я думаю, ты шутиш (?).

| Сообщение посчитали полезным:

NIKOLA пишет:
Ну,а если серьёзно, я думаю, ты шутиш (?).

Я про плагины которые её прячут из дерева процессов, меняют название хэндла... как то сразу поискать не додумался... ну и ладно денег на трафике сэкономил...
А на самом деле сразу был лень искать.... посмотрел тут, новых плагов нет а дальше искать забил...

А теперь к делу... собрав некоторую инфу в нэте насчет наномитов, я пришел к выводу что это хитрый приемчик восстанавливать и/или отслеживать битые функции защиты! То есть при запуске проверяется все ли на месте! А при дампе мы конечно же многое выкидываем и меняем!С поэтому хрен вам а не запуск...
Правильно ли я понял?

| Сообщение посчитали полезным:

Hill

Возьми dillodie он наномиты нормально востанавливает, но, помойму работать будет только на хр системах.

| Сообщение посчитали полезным:

Hill пишет:
А теперь к делу... собрав некоторую инфу в нэте насчет наномитов, я пришел к выводу что это хитрый приемчик восстанавливать и/или отслеживать битые функции защиты! То есть при запуске проверяется все ли на месте! А при дампе мы конечно же многое выкидываем и меняем!С поэтому хрен вам а не запуск...
Правильно ли я понял?

Нет, не правильно

Наномиты представляют собой эмуляцию условных переходов, т.е. в защищенной проге условные переходы заменяются на int 3.

В процессе работы программы при выполнении данной команды происходит исключение, его перехватывает обработчик армы и определяет, какие флаги условий были установлены и в соответствии с этим направляет дальнейшее выполнение программы с того или иного адреса. Примерно так.

Когда мы снимаем дамп, то в нем остаются эти Int 3, на которых распакованная прога и спотыкается

| Сообщение посчитали полезным:

Это чего же получается?!... Для того чтобы чтобы избавиться от наномитов необходимо сравнивать по сути дела три процесса и при этом еще и успевать править эти самые команды? да их же там от 5 до 10к может быть... мда... тут явно скрипт нужен... ладно сперва сниму дебаг блокер и восстановлю таблицу. Кстати IAT у нас, если все правильно понял, подпорчен волшебными джампами?

| Сообщение посчитали полезным:

@Hill
Туторов по ручному восстановлению Import Table Elimination и Nanomites Processing практически нет, как скриптов и плагинов.
Единственно чем ты сможешь их восстановить так это dilloDIE и ArmInline.
После распаковки dilloDIE, у тебя еще уйдет неделя пока научишся восстанавливать Environment Variables, на что тоже нет туторов.
Единственно, что радует так нет Secured Sections.
Так что для обучения ты выбрал не лучший вариант.

| Сообщение посчитали полезным:

vel пишет:
Туторов по ручному восстановлению Import Table Elimination и Nanomites Processing практически нет, как скриптов и плагинов
Судя по тому, что удалось собрать насчет принципа работы всего этого, думаю мозгов хватит... Плохо одно: не сам до этого дошел... но этого и не требуется, так как кто-то этим занимался начиная еще с бета версий армы... Поэтому тут лучше готовой информацией воспользоваться, принцип понятен, процедуры тоже! С новыми алгоритмами разберусь уже сам...
vel пишет:
Единственно чем ты сможешь их восстановить так это dilloDIE и ArmInline
Взял исходники армининлайна, рзберемся...

vel пишет:
После распаковки dilloDIE, у тебя еще уйдет неделя пока научишся восстанавливать Environment Variables, на что тоже нет туторов
Инфа то есть разберемся...vel пишет:
Единственно, что радует так нет Secured Sections
Что это такое пока тоже не знаю, поэтому без коментов.
vel пишет:
Так что для обучения ты выбрал не лучший вариант
А кто сказал что я сразу с этого начал? сперва потренировался на том что было! Правда там такого не было, иначе не создавал бы этот топик!

| Сообщение посчитали полезным:

vel пишет:
Туторов по ручному восстановлению Import Table Elimination и Nanomites Processing практически нет

Есть, но на буржуйском, вот здесь http://storage2.ricardonarvaja.com.ar/web/CURSO%20NUEVO/TEORIAS%20NUMERADAS/ нужно покапаться.
Ключевое слово ArmadilloTomo, там их 6 туторов.

| Сообщение посчитали полезным:

народ я читал про IAT Elimination! Даже знаю как скрипт примерно написать для его восстановления... С codesplicing'ом познакомился сегодня... работаем... очень похоже на Iat elimination! Ничего разберемся... кстати, плохо что я так и не выучил ни итальянский ни испанский! Но смотрю китайский мне пригодился... Я думал лучшие лучшие хакеры и крякеры это хохлы, мы, испанцы и уж потом буржуазия а оказывается... хотя что тут удивидительного каждый по разу попробовал...
ЕЩе возникает вопрос про
!-<Backup Key Options> Variable Backup Keys
но сперва поправим табличку от всякого рода мусора....
Арма не так уж и сложна... главное принципы упаковки и работы понять...
нарвайи респект! Еще респект Liu Zhin - гений просто блин... Хотя может это он арму придумал....

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным: