Привет всем.
Значится до этого никогда вплотную не сталкивался с гавнопротом... но вот все когда-нибудь бывает в первый раз.

Вот ссылка на прогу: www.nsoft-s.com/files/mcserv3ultimate.zip (3,22 MB)

Как уже понятно - это чат для локальной сети.

Там сама защита криптора - одним словом все как в статье PE_Kill - "Распаковка EXECryptor 2.3.9 на примере Family2007", т.е. уберешь криптор - пропадет и защита ( триал 30 дней ).

Итак, что я нарыл:
1) Прога написана на Delphi

2) Нашел тем же способом как в статье IAT ( и восстановил скриптом )
Начало RVA IAT: 0026617C
Размер IAT: 7BC

3) OEP оказалось только одно, и без спертого кода.
OEP: 0024FE80

4) TLS: 0026A000

Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!

И вот возник вопрос. Почему это такое? и как с ним бороться?

| Сообщение посчитали полезным:

OLEGator пишет:
прогу плиз дайте каторой таки ролики делать..

Camtasia Studio v4.0.1
весит: 33.49 MB
прямая ссылка: www.techsmith.com/download/camtasiatrialthx.asp

| Сообщение посчитали полезным:

спасибо уже получил.
=)

-----
AutoIt

| Сообщение посчитали полезным:

А есть инфа по снятию говнопрота с длл?

slil.ru/24604894

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX]
с анпаком dll - геморрой из-за релоков
инлайн+дамп с импортом - проще

| Сообщение посчитали полезным:

Archer пишет:
Юзайте фантом, там всё в 0 кольце, хрен спалит.

Так и делаю В сочетании с HideToolz

Archer пишет:
некоторые функи прямо в начале перенаправлены с помощью jmp

Хм, а это происходит при использовании всех функций или только хайдящих? В нём не мало интересных фишек, которые очень бы не хотелось в ручную, в экзешник переносить

| Сообщение посчитали полезным:

Вчера скачал с сайта этого же автора программу PrevedSMS, и заметил такую фишку.

У меня стоит 2 винды:
1) без сервис паков
2) с SP2 и обновками

Так вот основная у меня это №1, т.к. комп слобоват. но в ней прога не захотела работать...
Поэтому я решил запустить ее из винды №2. Так все прекрасно заработало.

Но....!!! на винде с сервиспаками мне так и не удалось запустить криптор под олькой - так как это было в ролике!!! Ваще писец - 2 часа проковырялся и нифига ( попробовал даже на тех прогах которые уже распаковал и ваще ничего, пробовал ставить Phant0m и HideDebugger - нифига не помогло.
Прога грузат все модули и уходит в Terminate)
Поэтому ВЫВОД - снятие криптора на моем ролике возможно тока на старом Win XP Pro без SP - а иначе надо искать еще доп. антиотладочные фичи, которые я так и не нашел.

Мож кто подскажет где можно найти информацию по обходу антиотладки у криптора!?!

| Сообщение посчитали полезным:

RSI
У меня XP SP2. Повторил все твои шаги из ролика. Использовал ольку от SLV +Phant0m с галочкой на load driver.

| Сообщение посчитали полезным:

RSI пишет:
основная у меня это №1, т.к. комп слобоват

ты считаешь, что установка критических обновлений снижает производительность системы?

| Сообщение посчитали полезным:

RSI пишет:
Вот сделал финальный ролик: ifolder.ru/2590301 (2,04 MB)

На данный момент иностранный трафик у этого файла превышает Российский.

Перезалейте плиз!

| Сообщение посчитали полезным:

N_E_O пишет:
На данный момент иностранный трафик у этого файла превышает Российский.
Перезалейте плиз!

Выложил на один день... http://tobadko.narod.ru/Unpacking_MyChatServer_3.0.swf

| Сообщение посчитали полезным:

N_E_O
еще кучка зеркал
hexcsl.com/upload/stats/59

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Gideon Vi
В оллиадвансд при юзанье некоторых хайдящих функций появляется jmp в начале функции. Если хайд поубирать, то говнопрот палить не должен. А какие конкретно функции-в принципе можно проверить, просто глянув олькой начало.

| Сообщение посчитали полезным:

Amok
Gideon Vi пишет:
ты считаешь, что установка критических обновлений снижает производительность системы?

Нет! просто они мне не нужны, есть вторая винда с последними обновлениями там и инет и программинг.
а все остальное летает в первой, пока меня это устраивает. Как говорится на вкус и цвет...

Amok пишет:
У меня XP SP2. Повторил все твои шаги из ролика. Использовал ольку от SLV +Phant0m с галочкой на load driver.

Эт хорошо! А какая версия Phant0m, у меня после этой опции не хочет какую-то библу подгружать.
счас более точно гляну...

| Сообщение посчитали полезным:

RSI пишет:
у меня после этой опции не хочет какую-то библу подгружать.

конкретнее надо писать что и как не пашет...
выкинь все плаги, ольгу поменяй и т.д. и т.п. )

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
ОК! попробую...

| Сообщение посчитали полезным:

RSI пишет:
А какая версия Phant0m

PhantOm.plugin.0.60.fix

Кроме этого плуга был подгружен OllyDump и ODbgScript v1.64.3

| Сообщение посчитали полезным:

Amok, Hellspawn

Спасибо! я убрал плуг HideDebugger 1.2.4 - тоже все заработало!

А кто-нибудь может подсказать (каким образом криптор проверяет ключ на валидность ), просто если там не сильно замудрено, то почему бы не попробовать написать инлайн-патчер, как для аспра...

| Сообщение посчитали полезным:

У меня olly вылетает исользовал PhantOm.plugin.0.60.fix и HideToolz

При запуске HideToolz вылетает ошибка Error ZwLoadDriver 0xC0000001

| Сообщение посчитали полезным:

Посмотрел сегодня мультик - до чего дошёл прогресс )
RSI, а почему у тебя первый эксепшн на 00000001 выставлен? Правильней было бы: 00000000 - FFFFFFFF

| Сообщение посчитали полезным:

N_E_O, по хайду есть соответсвующий топик. Дело в перекрёстных хуках - тут уже как кому повезёт

| Сообщение посчитали полезным:

Посмотрел сегодня видео, есть одно замечание, в сабже, на котором снимался ролик, использовался, скорей всего, скарденный криптор, по этому ни оеп не испорчен, ни дополнительных вызовов криптора нет, и в следствии этого, секции криптора отрезались без проблем, но, не обольщайтесь, в 90% у вас так не получится. Максимум, что можно будет сделать, так это отрезать только две последнии секции. Имейте это ввиду.

| Сообщение посчитали полезным:

RSI

А ты чем пользовался для скрытия оли? И с какими настройками.

| Сообщение посчитали полезным:

там же в ролике есть настройки + Phant0m c опцией load driver.

NIKOLA
+1

так и есть, на других прогах намного сложнее. там OEP полность размазано и часть вызовов идет в код криптора, поэтому тока можно отрезать одну, ну иногда две секции.

| Сообщение посчитали полезным:

RSI пишет:
Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!
Вообще, это старый баг в 1.6 - фиксится изменением условного перехода на безусловный в API NtOpenProcess после проверки за call _SeSinglePrivilegeCheck, после чего ImpRec уже хаватет процесс как полагается.

| Сообщение посчитали полезным:

YDS
Спасиб!

| Сообщение посчитали полезным:

RSI
теперь можешь и за это www.spyarsenal.com/network-sniffer/give-me-too.zip взяться.
тут вроде и не последняя версия криптора но более сложного варианта мне не попадалось

| Сообщение посчитали полезным:

r99 пишет:
тут вроде и не последняя версия криптора но более сложного варианта мне не попадалось
Оеп там не сперто импорт обычный без заморочек, На оеп выйти в два приема бряк на запись в дата бряк на доступ в код и бряк обратно на запись дата и мы чуть ниже оеп! Много метаморфа так он обычный не сложне чем в других прогах

| Сообщение посчитали полезным:

pavka
там другие радости.
в проте с oep-ом и так все ясно - на него даже из Hiew попасть можно

| Сообщение посчитали полезным:

r99 пишет:
там другие радости.
Я с полгода назад смотрел ее ни чего особо мудрого там не видел запустить дамп не было особых проблемм!

| Сообщение посчитали полезным:

pavka
я нигде больше не видел оба crc-check в основном шреде

| Сообщение посчитали полезным: