 |
eXeL@B —› Основной форум —› Снятие протектора PEP v2.0 с программы LikeRusXP |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 25 апреля 2007 09:21 · Личное сообщение · #1 Smon написал: vnekrilov Создай тему о снятии пепа с лайкруса в отдельном топике, этот топик о плагине для ольки. Замечание очень справедливое, и я решил создать отдельный топик по этому вопросу. AirSpirit написал: Однако хотел бы спросить, как вы нашли места, в которых видны имена, типы и размеры ресурсов? И как узнали про детали архивации его пакером? Для поиска имен, типов и размеров ресурсов я сейчас готовлю вторую статью, в которой будет показан более подробно процесс восстановления ресурсов, и обход усиленной анти-отладки. Детали архивации я уточнил, проанализировав работу протектора PEP, который скачал с сайта разработчика.  |
|
|
Создано: 25 апреля 2007 09:39 · Личное сообщение · #2 vnekrilov Ну так а смысл топик счас создавать! дописывай и выкладывай статью, а потом создавай топ чтоб вопросы по статье задавали 
|
|
|
Создано: 25 апреля 2007 10:05 · Личное сообщение · #3 RSI пишет: vnekrilov Ну так а смысл топик счас создавать! дописывай и выкладывай статью, а потом создавай топ чтоб вопросы по статье задавали Дело в том, что имеется и первая статья по снятию PEP, по которой имеются много вопросов и комментариев, которые задаются на форуме CRACKL@B и RU-BOARD. Кроме того, мне бы хотелось привлечь и других мощных crackers, например, PE_Kill, Gideon Vi. Bronco и других, для подробного исследования всех вопросов, связанных с протектором PEP, тем более, что эта тема неоднократно поднималась на форуме CRACKL@B/ |
|
|
Создано: 30 апреля 2007 13:46 · Поправил: vnekrilov · Личное сообщение · #4 Сегодня на http://webfile.ru/1391416 http://webfile.ru/1391416 я выложил статью "Снятие протектора PEP на примере программы LikeRusXP v5.18 по vnekrilov", в которой подробно описал процесс снятия протектора PEP с программы LikeRusXP v5.18, а также обход ловушек анти-трассирования. Я также отправил эту статью модераторам сайта CRACKL@B, для ее размещения в разделе RAR-статьи. |
|
|
Создано: 30 апреля 2007 15:10 · Поправил: Jupiter · Личное сообщение · #5 Спасибо за статью. Поскольку ты всё равно выкладываешь rar, положи туда отдельно все скрипты, т.к. искать и по тексту не очень удобно. По поводу восстановления ресурсов: предлагаю другой, менее геморный метод. вместо того, чтобы по одному добавлять рурсы в Stud_PE, лучше сделать .rc скрипт и его скомпилить любым rc.exe, а потом просто подрубить готовую секцию ресурсов. Если не очень понятно, что я имею в виду, могу объяснить на примере. ----- EnJoy! |
|
|
Создано: 30 апреля 2007 17:43 · Личное сообщение · #6 vnekrilov Хорошая статья! тока способ восстановления ресурсов действительно очень геморный...
Раз так прошарился, мож в скором времени увидим для PEPа - Stripper by vnekrilov 
|
|
|
Создано: 30 апреля 2007 23:02 · Личное сообщение · #7 способ восстановления ресурсов геморный... Лог только для статистики ресурсов.При желаннии, можно и без PE Tools обойтись.Нажми в отладчике ALT+M,в памяти все ресурсы лежат доступно и без лога,сохраняй как данные,обрезай ноли по размеру из лога,в любом hexedit.Формы можно собрать в Resource Builder(всё таки быстрее),остальное в Stud_Pe. Поковырялся с 5.19,немного усилилась защита. Пока только таблицу импорта востановил,да спёртые байты нашёл.  ee37_30.04.2007_CRACKLAB.rU.tgz - iat_5.19.rar
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 01 мая 2007 03:45 · Личное сообщение · #8 vnekrilov пишет: "Снятие протектора PEP на примере программы LikeRusXP v5.18 по vnekrilov" Как всегда очень качественно - моё уважение. vnekrilov пишет: обход ловушек анти-трассирования В процессе подключения plugin PhantOm можно отказаться от анти-дебага OllyAdvanced. Оставить можно: Kill Anti-Attach TerminateProcess Scramble Export Table Anti-Anti Hardware BP остальное перекрывается Фантомом |
|
|
Создано: 01 мая 2007 06:35 · Личное сообщение · #9 Jupiter пишет: вместо того, чтобы по одному добавлять рурсы в Stud_PE, лучше сделать .rc скрипт и его скомпилить любым rc.exe, а потом просто подрубить готовую секцию ресурсов. Если не очень понятно, что я имею в виду, могу объяснить на примере. Поясни, пожалуйста, на примере. Я с этим не сталкивался. |
|
|
Создано: 01 мая 2007 07:19 · Поправил: firefly003 · Личное сообщение · #10 Доброго времени суток. vnekrilov, поделитесь, пожалуйста, Вашим OLLYDBG.ini. firefly003{ @ }gmail.com |
|
|
Создано: 01 мая 2007 10:05 · Личное сообщение · #11 ОФФтоп Кстати Bronco Ты же ломал LikeRusXP v5.18 .. Вот твой кряк работает только если в компе не установлен Антивирус касперский .... Или можно заставить заработать путем удаления драйвер kliff.sys.. И перегрузкой после этого компа . Это не есть хорошо
|
|
|
Создано: 01 мая 2007 10:20 · Личное сообщение · #12 Gideon Vi пишет: TerminateProcess тоже можно не включать, т.к. доступ к Ольге (OpenProcess) тоже перекрывается
----- [nice coder and reverser] |
|
|
Создано: 01 мая 2007 10:50 · Личное сообщение · #13 Gideon Vi пишет: Оставить можно: Я уже постил на эту тему(для 5.18),в другом топе,что в плуге адвансед, закладки с анти дебугом вообще не юзал.Сабж под олей лЁтал,почти без капризов....)))))) Sergeylar пишет: Вот твой кряк работает только если в компе не установлен Антивирус касперский Никогда этот антивирь не юзал. Попробуй ДрВеб,ничем не хуже. ---------------------- В 5.19 ресурсы уже скинуты в одну секцию,в полном хаосе...))))) ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 01 мая 2007 11:17 · Личное сообщение · #14 Bronco пишет: В 5.19 ресурсы уже скинуты в одну секцию,в полном хаосе...))))) Аффтар мониторит этот топег и сайтег
Bronco пишет: закладки с анти дебугом вообще не юзал.Сабж под олей лЁтал,почти без капризов....)))))) +1 ЗЫ: А новый пеп (который на лайкрусе) запускается на всех виндах ? (2к,2k3,XP,Vista) ? ----- "Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels |
|
|
Создано: 01 мая 2007 16:42 · Личное сообщение · #15 Hellspawn пишет: тоже можно не включать, т.к. доступ к Ольге (OpenProcess) тоже перекрывается К стати, да, этот момент я упустил
Bronco пишет: Сабж под олей лЁтал,почти без капризов....)))))) Не спорю ) Но если чек. боксик не мешает, то почему бы его не нажать?
|
|
|
Создано: 02 мая 2007 00:15 · Личное сообщение · #16 Просто для инфо. В последнем билде(5.19),все ресурсы,кроме некоторых форм,можно рипнуть из 5.18. Для старта сабжа нужно обойти две функи ExitProcess(или занопить),и перед LoadLibraryA изменить инструкцию push,чтобы в стеке быль ноль. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 02 мая 2007 06:47 · Личное сообщение · #17 Модераторы сайта CRACKL@B выложили в разделе RAR-статьи мою статью "Снятие протектора PEP на примере программы LikeRusXP v5.18 по vnekrilov". Ссылка на скачивание - http://www.exelab.ru/rar/dl/CRACKLAB.rU_70.rar |
|
|
Создано: 02 мая 2007 15:55 · Личное сообщение · #18 vnekrilov по поводу использования rc.exe: после сохранения ресурсов в виде имя_ресурса.bin, создаём файл LikeRusXP.rc в нём прописываем все файлы в соответствии с их назначением. пример: #include <Resource.h>
соответственно, перед тем, как запихивать имена сдампленных регионов в .rc файл, можно их переименовать (хотя бы расширение присвоить) в соответствии с их типом (курсор, иконка, битмэп и т.д.) - это можно делать , например, в TotalCmd, используя плагин Imagine. таким образом у нас будут все ресурсы, готовые к компиляции. после чего мы просто собираем файл, скормив его rc.exe если что не понятно - кинь своё мыло/аську в ПМ ----- EnJoy! |
|
|
Создано: 03 мая 2007 06:15 · Поправил: Bronco · Личное сообщение · #19 Немного ручной работы убрал.Скрипты юзал из статьи "Снятие протектора PEP на примере программы LikeRusXP v5.18 по vnekrilov". Адреса взяты из версии 5.19,тестировал тоже на ней. Для скрипта nopjmp,вместо je message -> je searching в конце скрипта дописуем: searching: mov ebx,api //адрес API из лога mov ecx,table //начало таблицы иат compare: cmp ebx,[ecx] je yes add ecx,4 jmp compare yes: mov iat,ecx log iat jmp recovery message1: msg "Эмуляция API" //просто так влепил,чтоб не скучно было смотреть на работу скрипта,можно и не вставлять))) jmp recovery edit1: mov iat,007803b0 //адрес в таблице,для эмуленной функции log iat jmp message1 edit2: mov iat,0078034c //адрес в таблице,для эмуленной функции log iat jmp message1 После строки ->log context->дописуем: cmp context,28064d58 //адрес джампа эмулированных api je edit1 cmp context,28062bbc //адрес джампа эмулированных api je edit2 После строки ->mov [origin],iat->дописуем: xor ebx,ebx xor ecx,ecx ---------- Аналогично и для impnop,некоторые адреса только другие.Если будут привелигированные инструкции,окей и шифт+F9.Заплатку вроде можно не лепить,в плагине pedumper.dll есть возможность,перед дампированием,обрезать левые секции у сабжа...)))))) ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 10 мая 2007 16:36 · Личное сообщение · #20 Сегодня на webfile.ru/1402398 я выложил статью "Снятие протектора PEP на примере программы LikeRusXP v5.195 по vnekrilov", в которой описал изменения в протекторе PEP на базе программы LikeRusXP v5.19.5, откорректированные скрипты для восстановления IAT и кода программы, а также получение рабочего дампа этой программы. Я также отправил эту статью модераторам сайта CRACKL@B, для ее размещения в разделе RAR-статьи. |
|
|
Создано: 10 мая 2007 21:47 · Личное сообщение · #21 Smon пишет: Аффтар мониторит этот топег и сайтег ИМХО Smon прав, лучше тему перенести в приват ----- Research For Food |
|
|
Создано: 10 мая 2007 22:24 · Личное сообщение · #22 daFix пишет: лучше тему перенести в приват Интересно,а как это выглядит? Я с такими приколами форума не знаком. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 10 мая 2007 22:57 · Личное сообщение · #23 Bronco Интересно,а как это выглядит?
Сделать зону как для модераторов, и вход тем к примеру у кого есть доступ на ФТП кряклаба... Кстати у китайцев на www.unpack.cn така зона есть... типа * Moderator + VIP Member.... Вот... ----- aLL rIGHTS rEVERSED! |
|
|
Создано: 11 мая 2007 02:57 · Личное сообщение · #24 DaRKSiDE DaRKSiDE пишет: у кого есть доступ на ФТП Не радует....((((( У меня глюк какой-то в винде.Я даже к мелким зайти не могу. Значит буду в ауте.. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 11 мая 2007 08:36 · Личное сообщение · #25 daFix пишет: ИМХО Smon прав, лучше тему перенести в приват То, что "Аффтар мониторит этот топег и сайтег", это неплохо. Я написал три статьи по снятию протектора PEP для того, чтобы автор увидел недоработки в защите. Следует отметить, что защита, разработанная SetiSoft, очень сильная. Автор очень хорошо использовал анти-отладочные приемы, очень сильно защитил код от дампирования, убрал определение типа ресурсов, что значительно затрудняет распаковку программ, упакованных PEP. Если автор, в своей защите учтет динамическую распаковку отдельных частей кода программы, при наличии ключа регистрации, снять эту защиту станет во много раз сложнее. |
|
|
Создано: 11 мая 2007 15:48 · Личное сообщение · #26 vnekrilov пишет: Если автор, в своей защите учтет динамическую распаковку отдельных частей кода программы, при наличии ключа регистрации, снять эту защиту станет во много раз сложнее. ну зачем так? аффтар уже побежал доделывать...
|
|
|
Создано: 11 мая 2007 16:19 · Личное сообщение · #27 sniperZ пишет: ну зачем так? аффтар уже побежал доделывать... На VMprotector деньги копить ;) Сети софт и сам прекрасно понимает что пеп не снимают потому что на фиг его прога ни кому не нужна а других либо нет или если есть то не запускаються.. vnekrilov пишет: очень сильно защитил код от дампирования, Гигагабайтные секции я и на UPX видел притом кода ... Ну тродоемко согласен только для шибких энтузиастов.. особенно возня с рессурсами ...а вообще полным полно вещей есть и поинтересней... из чего тут делать приват? что там такокого секретного? |
|
|
Создано: 11 мая 2007 16:31 · Личное сообщение · #28 из чего тут делать приват Пока не заприватили...отпишусь....)))) vnekrilov Статья как всегда на высоте,доступна для всех,но я не заметил автоматизации прохода к спёртым байтам. Мне приходиться это делать часто. Плаг Хела рулит,выставь все чеки,а в адвансед убери весь антидебуг.Фигвам с этой доработкой отладчика.Мягко по шифту плюс F9,можно пройти. Первое API тоже рулит,на вызов кода программы ставь железный бряк.И на этом с антиотладкой можно забыть. Оно конечно интересно,и анализ правильный.Но это для инфо полезно. ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 11 мая 2007 16:44 · Личное сообщение · #29 pavka пишет: Гигагабайтные секции я и на UPX видел притом кода Защита от дампирования выполнена не только в виде гигабайтной секции. Кроме того, в программе имеется огромное количество ссылок на области памяти, которые создаются протектором при распаковке программы в память компа. Bronco пишет: Пока не заприватили...отпишусь... Я не думаю, что нужно приватить этот топик. |
|
|
Создано: 11 мая 2007 18:05 · Личное сообщение · #30 vnekrilov пишет: Кроме того, в программе имеется огромное количество ссылок на области памяти, которые создаются протектором при распаковке программы в память компа. Это то же не слишком большая новость ;) Как бы там ни было пеп кустарный прот сделаный на коленке и не выдерживает ни какого сравния с топовыми протами да и некоторыми самопальными ..... Как в прочем и сама LikeRusXP того же разлива ... Хотя все это не умаляет проделаной тобой работы ... Имхо это не форум поддержки шароварщиков и идея переносить обсуждение любых защит в приват, по причине того что что авторы мониторят сайт, абсурдна... |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› Снятие протектора PEP v2.0 с программы LikeRusXP |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати