небольшой CrackMe ifolder.ru/3337645

| Сообщение посчитали полезным:

Хм.. вот залил
два скрипта для PESpin 1.3 и PESpin 1.304
slil.ru/24968788

| Сообщение посчитали полезным:

Smon

Точно лоадер запакован PESpin 1.304
Эламинейшн нет в скрипте удали или закоментируй вот этот кусок
--
var dw
var func
var hew
ask "Enter masc format exempl, call(#FF15????FB00#) jmp (#FF25????FB00#)"
mov masc,$RESULT
cmt Imp,"Fixing imports! Please wait for some time ..."

loop:
Find x,masc
cmp $RESULT,0
je next
mov sr, $RESULT+6
mov dw,$RESULT+2
mov func,[dw]
mov new,[func]
mov [dw],new
jmp loop
----------------

| Сообщение посчитали полезным:

Prince[ART] пишет:
Кстати вы там с фантомко сговорились чтоле, чтобы он дырочку в PEB->NtGlobalFlag == 0 оставил?

wtf? to pm =)

pavka пишет:
Точно лоадер запакован PESpin 1.304

достаточно было натравить анализатор

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn пишет:
достаточно было натравить анализатор
Да не в этом дело я смотрел не сам лоадер по этому и не обратил внимание чем он там запакован...

| Сообщение посчитали полезным:

Все разобрался эламинешн есть из за дуракцкой базы скрипт обрабатывал повторно
@Smon
ни чего не надо удалять
loop:
Find x,masc
cmp $RESULT,0
je next
mov sr, $RESULT+6
mov dw,$RESULT+2
mov func,[dw]

mov new,[func]
mov [dw],new
mov x,sr <-------------------------добавить эту строчку
jmp loop

| Сообщение посчитали полезным:

pavka
спасибо за скрипты конешно, но у меня почемуто ОЛЬКА падает, при запуске скрипта (OdbgScript v1.52)

| Сообщение посчитали полезным:

DIMAIN пишет:
но у меня почемуто ОЛЬКА падает, при запуске скрипта (OdbgScript v1.52)
обнови плуг

| Сообщение посчитали полезным:

pavka
Куда ни ткни, по сововокупности диагнозов - PESPin 1.3. Это по ходу дела, верхний слой, а так подгружается потом dll c NSPAck.
Smon пишет:
надпись демо вообще в ресурсах лежит
При распаковке что ли она там лежит?

-----
Программист SkyNet

| Сообщение посчитали полезным:

FrenFolio пишет:
При распаковке что ли она там лежит?
в ресах нет никакой надписи ДЕМО!!!

| Сообщение посчитали полезным:

DIMAIN
естессно, в лоадере её и не будет, т.к. она лежит в пошифрованном виде в ресурсах одной из двух дллок, которые относятся к XLOX и я так понимаю динамически постоянно создаётся\уничтожается - оттого и такая дикая загрузка цпу.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

FrenFolio пишет:
Куда ни ткни, по сововокупности диагнозов - PESPin 1.3. Это по ходу дела, верхний слой, а так подгружается потом dll c NSPAck.
я же говорил лоадер практичечский не смотрел ;) только длл. Не спорю сейчас это PESPin 1.3.04 паблик с ручным извратом
кому интересно вот выдраная запакованая Nspackом и анпакнутая длл можно потрошить рессурсы ;)
rapidshare.com/files/62069046/XXLUnpackMe.rar

| Сообщение посчитали полезным:

Smon пишет:
она лежит в пошифрованном виде в ресурсах
не вериться что все так просто

pavka пишет:
вот выдраная запакованая Nspackом и анпакнутая длл можно потрошить рессурсы
хорошо, выдрали длл, убрали надпись демо, а дальше... пишем свой загрузчик, весело...

| Сообщение посчитали полезным:

Hellspawn
Даане все очень просто и криминального ничего нет, просто когда на варе запускаешь HeavyProtected.exe
Происходит не очень приятная весч, вот кодес его проверки
008E…320E 64:8B35 30000000 MOV ESI,DWORD PTR FS:[30]
008E…3218 8B76 68 MOV ESI,DWORD PTR DS:[ESI+68]
008E…321E 85F6 TEST ESI,ESI
008E…3223 0F85 D5E9FFFF JNZ 008E1BFE
в результате мы имеем в ESI--> 0x00004000, ну у меня такое значение постоянно, ясень пень он на этом и палит
если запустить на реальной тачке, то все пучком ;) там нолик
у него есть проверки и на байт тоже, а тут вот мля, на дворд --> может это дело как-то подправить можно хз
первая такая проверка у него сразу после GetModuleHandle самое начало анонизма с импортом гыгы
там до GetModuleHandle ничего интересного нет и все что он там намудрил фантомко обходит, вообщем как тест антиотладко-ртфм классная штучка, весь что в инторнэте про антиотладку кодес выкладывали, весь там!, ничего не забыл %)
я в принципе нашел легкий способ решения проблемы
все равно останавливаться приходится на System breakpoint, потом я нажимаю F7 и видим примерно вот такой код
7C93EDC0 8B43 68 MOV EAX,DWORD PTR DS:[EBX+68]<--вот здесь
7C93EDC3 D1E8 SHR EAX,1
7C93EDC5 24 01 AND AL,1
7C93EDC7 A2 21C1977C MOV BYTE PTR DS:[7C97C121],AL
в окне info на DS:[7FFDE068]=00004000 ПКМ>меню>Modify data и меняем на ноль вот и все
аа, если что еще у него есть BlockInput оно клинит Олю Дебаговну, но эта проблема решается Ctrl+Alt+Del, но тоже чуть напрягает
чет есть у Olly Advanced, но там она не рыба не мясо, неробит вобщем, даже более того, если эту BlockInput опцию включить, то плагин изменяет начальный код на ret4, а прот это дело детектит и на выход, короче там много такого лола, покопать чичто чтобы поржать стоит!
если сделаешь против этой BlockInput настройку у себя в плагине, то Good будет!
Вообщем че я о себе да о себе --> !!!ПАСИБА ЗА ПЛАГИН!!!

| Сообщение посчитали полезным:

Prince[ART]

не совсем всё понял))) а с чего у тя там такое значение? ) и что нужно сделать? Могу занулить и
след. дворд, тока надо глянуть пеб, чтоб ничё лишнего...

BlockInput - хорошо, я записал, похучим красивее)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

DIMAIN пишет:
а дальше... пишем свой загрузчик, весело...
Этот переделай

| Сообщение посчитали полезным:

Hellspawn
дада, теперь мне кажется понятным твое удивление, получается ты по этому адресу и записываешь нулевое значение DWORD, а я думал, что ты только BYTE обнуляешь
решение простое
вот кодес для примера как можно сделать
typedef VOID (WINAPI *NtQueryInformationProcess)(
HANDLE ProcessHandle,
PROCESSINFOCLASS ProcessInformationClass,
PVOID ProcessInformation,
ULONG ProcessInformationLength,
PULONG ReturnLength
);

NtQueryInformationProcess ZwQueryInformationProcess;
PROCESS_BASIC_INFORMATION PBI;

if (ZwQueryInformationProcess=(NtQueryInformationProcess)GetProcAddress(G etModuleHandle("ntdll.dll"),"ZwQueryInformationProcess"))
{
(*ZwQueryInformationProcess)(hProcessDebugging,ProcessBasicInformation ,&PBI,sizeof(PROCESS_BASIC_INFORMATION),0);
__asm
{
mov eax,PBI.PebBaseAddress //FS:[0x30]
mov DWORD PTR [eax+0x68],0
}
}
просто эта адцкая варя шестая скорее всего этот флаг устанавливает для своих каких-то нужд, короче пох для чего ей это надо, просто обнулить этот DWORD PEB->NtGlobalFlag еще раз уже ПОСЛЕ срабатывания System breakpoint или WinMain

Заранее прошу прощения вдруг страшныйбааян
Вот тут много кодеса про антиотладко
www.openrce.org/reference_library/anti_reversing
Может как-то поможет

А тут хелпер описывает много всего я с него снял защиту от редактирования и копипаста теперь можно с помощью переводчика перевести, если с англицким плохо и сильно тебе нужно, могу попробовать на какую-нибудь файлопомойку залить, но у мну инторнэт сташномертвый может и неполучиццо ;) оригинальную версию можно слить отсюда
bh-usa-07-yason .pdf (1m)
164.106.251.250/docs/netsec/bh2007/Yason/Presentation/
"The Art of Unpacking" by Mark Vincent Yason
Вдруг что-то, про что там пишут, поможет улучшить плагин, все в принципе знать невозможно
Ссылки вообще хорошие много полезного можно нарыть, если знать что искать ;)

аа, еще не сочтите за мою ахрененноважную наглость, но вдруг можно что-нибудь придумать
проблема следящая – когда мы ставим меморибряк, прот в коде своем вызывает
VirtualProtect(lpAddress, dwSize,PAGE_EXECUTE_READWRITE, &lpflOldProtect);
Так он этот прот цуко снимает наши поставленные меморибряки
вот супер было бы как-то повлиять на это безобразие, ну типа если мы поставили меморибряк, то когда прот вызывает VirtualProtect, ну или что-то подобное VirtualProtectEx далее по цепочке, все равно в одно упрутся, сверяются адреса и если делается попытка сменить атрибуты памяти на которые мы установили меморибряки запрещать это делать - вот если бы захучить на нулевом кольце это дело, тогда все юзер-модные проты в сторонке будут тихо сосать!
А эту дырочку надо как-то прикрыть, а то так любой прот из любого места может снимать меморибряки
и тогда бы этот прот практически без защиты остался, а я щас придумываю способ чтобы не сполиццо ;) как убрать эту джамповую вермешель
ну как-то вот попробовать вот так, да и вам виднее, вы все равно вдвоем больше знаете чем мну :P Я еще сильно чайнег в этом деле, мне еще у вас учиццо и учиццо!

| Сообщение посчитали полезным:

Prince[ART] пишет:
тогда бы этот прот практически без защиты остался, а я щас придумываю способ чтобы не сполиццо ;) как убрать эту джамповую вермешель
Ты всё HeavyProtected чтоль мучаешь ? )))

Prince[ART] пишет:
http://164.106.251.250/docs/netsec/bh2007/Yason/Presentation/ http://164.106.251.250/docs/netsec/bh2007/Yason/Presentation/
хороший док, спасибо за ссыль

Prince[ART] пишет:
Я еще сильно чайнег в этом деле, мне еще у вас учиццо и учиццо!
а мне почему то кажеццо что этот ник не основной ;)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

pavka пишет:
Этот переделай
в смысле, инлайн предлагаеш, или с нуля выдрав из этого загрузчик???

| Сообщение посчитали полезным:

DIMAIN пишет:
инлайн предлагаеш, или с нуля выдрав из этого загрузчик???
Можешь инлайн можешь отреверсить лоадер зачем с нуля? посмотри как происходит инициализация в принципе там все прозрачно антиотладки нет...

| Сообщение посчитали полезным:

pavka
а ты сам еще не пробовал, что то с этим делать? инлайн проще, но это не унпак будет, а если искать проц. с инициализацией то заморочисто... идей у меня пока нет...
з.ы. а надписи ДЕМО всетаки в ресах нет!!!

| Сообщение посчитали полезным:

DIMAIN пишет:
з.ы. а надписи ДЕМО всетаки в ресах нет!!!
Поктиптована наверно ;) лови на хинт или на шрифт
DIMAIN пишет:
но это не унпак будет
Там по любому не анпак а реверс

| Сообщение посчитали полезным:

pavka
я то набросал небольшой лоадер (LoadLibrary + InitializeDll) но либа не запускается, че ей надо, хер поймеш...

pavka пишет:
на шрифт
так это вроде битмап...

| Сообщение посчитали полезным:

DIMAIN пишет:
я то набросал небольшой лоадер (LoadLibrary + InitializeDll) но либа не запускается
от ты способный ;) а чего ей запускаться ? Мог бы с таким же успехом и олиным загрузчиком запускать
DIMAIN пишет:
так это вроде битмап...
с чего ты взял?
вот скрипт для маркеров, импорт восстановил на оеп встал и запускай проще будет
var decrypt
var crypt
var pd
var nexts
var oep
mov oep,eip
GMI eip, CODEBASE
mov code,$RESULT
loop:
find code,#FF15C2C50205#
cmp $RESULT,0
je quit
mov decrypt,$RESULT
mov nexts,$RESULT+6
mov pd,[$RESULT+2]
mov pd,[pd]
add pd,60
find decrypt,#FF15EEC50205#
mov crypt,$RESULT
mov eip,decrypt
bp pd
erun
fill decrypt,A,90
fill crypt,A,90
mov code,nexts
jmp loop
quit:
mov eip,oep
ret

атачи не цепляються вот распакованый
rapidshare.com/files/62416424/XXLUnpacked.rar

| Сообщение посчитали полезным:

pavka пишет:
от ты способный
шутим ДА, лоадер делал еще не зная что будет такая трабла... там по любому надо делать вызов InitializeDll, а не просто LoadLibrary...

pavka пишет:
с чего ты взял?
да так предположение, шрифт то не стандартный, да и в ресах нет такого шрифта, отсюда вывод...

pavka пишет:
вот распакованый
да я то распаковал, да только толку ноль...

| Сообщение посчитали полезным:

DIMAIN пишет:
да я то распаковал, да только толку ноль...
Я тоже не догоняю, где в ресурсах лежит надпись "DEMO". Может кто-нибудь ткнет носом?

-----
Программист SkyNet

| Сообщение посчитали полезным:

Smon пишет:
Ты всё HeavyProtected чтоль мучаешь ?
А у мну другого ничего нет, я у вас просил вы мне не дали
Вот Jupiterу вы даже старфорс подариле, а мне ничего, почему?
вот тут есть много у кого - ранг такой большой, что даже красненькую видно
Вы им написали, а мне когда я попросил у вас, вы отказали даже не написали почему?
Из-за того, что у меня репутация такая маленькая?
Вы меня за это ненавидите чтоле?
Вам нравится наверно над чайнегами издеваццо, почему вы мне не даете что обещали DIMAIN?
Вы обещале подарить прот тому, кто его асилит или вы уже отказываетесь от своего предложенного варианта?
Если вам кто-то дал в превад рабочие варианты озвучте их имена пожалуйста в студии - иначе это просто сарказм!
Я исследую этот прот не для того чтобы сказать тут, что я супер-крякмэн, а для того чтобы хоть чему-то научиться!

Вот это точно адцкий кодес
PUSH SS
POP SS
PUSHFD
POP EAX
AND EAX,100
JNZ FatalError
Автоматически не шли трейс конструкции ламо-уровня, кстати у криптора тоже такая бляка есть, оттуда чтоле скоммуниздели ее?
Решение проблемы было найдено, мы обнуляем флаг трассировки в стеке, так что вы забираете POP EAX уже наепку, но вот SS в точку было сделано, красиво гадит ;)

Паблик средствами мне представляется возможным реальную картину увидеть(инлайн фуу), только если сдампить регион памяти и отдать его ИДО, настроить базовые адреса и естественно в ней обработать дамп скриптом, чтобы он был чистым как слеза девственницы, причем не аадин, а несколько и тогда, (я это видел своими глазами) впечатление от увиде... Вообщем зачОт!

| Сообщение посчитали полезным:

Prince[ART] пишет:
Из-за того, что у меня репутация такая маленькая?
Вы меня за это ненавидите чтоле?
Вам нравится наверно над чайнегами издеваццо, почему вы мне не даете что обещали DIMAIN?
Хорош чтоль прикалываться ))) Просто возникла мысль написать то что обещале на масме, и что то никак не сподоблюсь

Prince[ART] пишет:
кстати у криптора тоже такая бляка есть, оттуда чтоле скоммуниздели ее?
Нет, ничего из криптора я не коммуниздил, к тому же это там не единственная трэйс конструкция

Prince[ART] пишет:
Вы обещале подарить прот тому, кто его асилит или вы уже отказываетесь от своего предложенного варианта?
Всё в силе, асиливай

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

FrenFolio пишет:
Я тоже не догоняю, где в ресурсах лежит надпись "DEMO". Может кто-нибудь ткнет носом?
да Smon'у почудилось просто

| Сообщение посчитали полезным:

Prince[ART] пишет:
Если вам кто-то дал в превад рабочие варианты озвучте их имена пожалуйста в студии
Таких нет.

DIMAIN пишет:
да Smon'у почудилось просто
Возможно, типа с недосыпа Я его смотрел совсем немного, все эти надписи напоминают битмап - а такие обычно лежат в ресурсах, возможно и криптованные Кстати пеп например вообще умеет воровать ресы и разбрасывать их по разным областям памяти - может для следующей версии крякми сгодится ? )

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Кстати пеп например вообще умеет воровать ресы и разбрасывать их по разным областям памяти - может для следующей версии крякми сгодится ?
да че ты привезался к тому что упакован этот UnpackMe спином, тут люди вон вмпротом балуются и нечего...
кстати спин снимается не так уж сложно

| Сообщение посчитали полезным: