Привет всем.
Значится до этого никогда вплотную не сталкивался с гавнопротом... но вот все когда-нибудь бывает в первый раз.

Вот ссылка на прогу: www.nsoft-s.com/files/mcserv3ultimate.zip (3,22 MB)

Как уже понятно - это чат для локальной сети.

Там сама защита криптора - одним словом все как в статье PE_Kill - "Распаковка EXECryptor 2.3.9 на примере Family2007", т.е. уберешь криптор - пропадет и защита ( триал 30 дней ).

Итак, что я нарыл:
1) Прога написана на Delphi

2) Нашел тем же способом как в статье IAT ( и восстановил скриптом )
Начало RVA IAT: 0026617C
Размер IAT: 7BC

3) OEP оказалось только одно, и без спертого кода.
OEP: 0024FE80

4) TLS: 0026A000

Но вот в чем проблема! я когда восстанавил IAT, у меня ImpRec написал что неможет подгузить системные библиотеки и при определении импорта пишет Can't open this Process!!!

И вот возник вопрос. Почему это такое? и как с ним бороться?

| Сообщение посчитали полезным:

NIKOLA
Вопрос о размере иат был риторический....))))))
В iuVCR,фишка с табличкой ,скорее всего частный случай.
По крайней мере я не сталкивался раньше,чтобы разделители между блоками системных модулей были такого большого размера,обычно же 4 байта.
А у плагина,как видишь, есть недокументированная оссобеность(выше уже изложена).
Ну типа.... в этом случае,его заюзать некомфортно...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
чтобы разделители между блоками системных модулей были такого большого размера,обычно же 4 байта.
фишка Борланд си

| Сообщение посчитали полезным:

pavka пишет:
фишка Борланд си
А мне казалось тут прот,чё то мутит.
Хотя нах ему это нужно?)))))))
У меня Борландовских нашлось всего четыре программы,вместе с этой.
В этих:
Reg Organizer
Durbetsel
OLLYDBG
всё путём.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

не хочу показаться назойливым, но сабж обновился и не хило, появились оч нужные функции такие как передача файлов.
мож кому не лень анпакуть? или уже есть анпакнутый?
з.ы.
знаю что надо идти в запросы, просто решил раз темка существует почему бы не попробовать..
сори если что..
3.2 Ultimate http://www.nsoft-s.com/files/mcserv32ultimate.zip (17.07.2007)

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator

Походу автор просек фишку! в этой версии OEP уже сперто

З.Ы. седня вечерком восстановлю

| Сообщение посчитали полезным:

=)
благодарю за помощь...
зы
темка на руборде вот http://forum.ru-board.com/topic.cgi?forum=35&topic=37031#1

-----
AutoIt

| Сообщение посчитали полезным:

del

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

RSIНе можешь ли ты перезалить крякнутый сабж заново на рипиду или исчо куда-то, а то старые ссылки битые! И исчо такой вопрос, пробую чат аттачить Олькой, а она сворачивается либа вешается! В чём может быть причина? Заранее санкс!!

| Сообщение посчитали полезным:

I_N_C_O пишет:
пробую чат аттачить Олькой, а она сворачивается либа вешается!
Юзай плаг Phant0m, который скрывает олю, скорее всего причина в этом.

| Сообщение посчитали полезным:

OLEGator
rapidshare.com/files/56566028/meyeserv.rar.html

RSI спасибо за тутор и дампер, все работает просто отлично...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
за тутор и дампер

Что за тутор и дампер ?

| Сообщение посчитали полезным:

NIKOLA
тутор:
http://www.exelab.ru/f/action=vthread&forum=1&topic=9276&p age=0#15
дампер
http://www.exelab.ru/f/action=vthread&forum=1&topic=6273&p age=9#29

Был в запое, все самое интересное пропустил? )))

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus пишет:
оригинал я так на своей машине и не запустил

У меня такая же фигня была, прожка не работает на Win XP без SP и вроде бы с SP1 тоже, зато на втором SP c некоторыми фиксами нормально, + прога немного кривовато написана, т.к. нет проверки на запущенный экземпляр, если запустить 2 сразу то начинает вываливаться

Там еще надо функцию регистарции пофиксить, а то будет в тексте сообшения добавлять надпись...

| Сообщение посчитали полезным:

RSI пофиксил, 2 штуки, даже в абоуте написано что зарегано...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Maximus

Если речь про видео ролик, то, его уже нет.
Повторите.

| Сообщение посчитали полезным:

Maximus пишет:
PrevedSMS
билядь, терминацц0 не дойдя до еп. до этого все гавнопроги молчали...только у меня так?

| Сообщение посчитали полезным:

sniperZ у мну тож так было. Сдампил дампером от RSI, а импорт восстановил после того как распаковался последний бай из ИАТ (чета фантом не отрабатывает как надо)...

NIKOLA ролик есть, я тебе немного не ту ссыль дал
http://www.exelab.ru/f/action=vthread&forum=1&topic=9276&p age=0#19

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

ух, ни как не могу обойти антиотладку гавнопрота на Preved SMS. может кто обошел? похоже там свежая версия...

| Сообщение посчитали полезным:

sniperZ
Там прокатывает тот прием, что я исп. в MyChatServer .

Итак:
1) Бери олю от SLV с плагами ( Phantom, OllyDump, OllyScript, CommandBar )
2) Оставляй первые 3 галки в Phantom (PEB, DRx, load driver )
3) Ставь систем брейпойнт и игнор след. исключений ( 0х800003, 0x8000004, 0xC0000005, 0xC000001E )
4) Запускай прогу, и убирай бряк с EP
5) ставь Togle бряк ( F2 ) на kernel32. _lread
6) жми Shift + F9 и понеслась...

| Сообщение посчитали полезным: