небольшой CrackMe ifolder.ru/3337645

| Сообщение посчитали полезным:

воПщИм покопал я распакованный файл от pavka, есть там оч интересное место, до кторого добираемся так:

ставим бряк сюды:
05008A58 83F8 01 CMP EAX,1
как только прервались пили м сюды (раньше там ничего нет, и туд же ксати все надписи расшифрованы):
180050A4 - FF25 CCC10218 JMP DWORD PTR DS:[1802C1CC] ; advapi32.RegCloseKey
там ниже до хня апи команд, ставим бряки на все и трейсим дальше. Будут вызываться команды, там же TForm1 и тд и тп...

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler
ты понял как надпись ДЕМО убрать???

| Сообщение посчитали полезным:

Если патчить exe - НЭД, а вот "врисовать" в окно новый битмап - эт пожалста

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler пишет:
"врисовать" в окно новый битмап
не катит...

| Сообщение посчитали полезным:

знаю что не катит, но пока мыслей не появилось. Даже если я найду где этот битмап прорисовывается, патчить все равно нельзя, т.к. крипт в том месте. Кстати после
05008A58 83F8 01 CMP EAX,1
становятся расшифрованы все строки. Дык вот стукнуло(сильно видать стукнуло ) мне в голову залезть в артмани и поискать заветную строчку. Еще до крипта есть строчки "DEMO" (именно верхний регистр), а вот после крипта появляется строка "demo" (нижний регистр). вопрос: зачем она?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

кстати вытащить битмапы из длл (которую pavka выкладывал) можно Fast Module Extractor (Dragon UnPACKer) или подобной, среди них есть та самая надпись...

depler пишет:
есть строчки "DEMO"
где ты ее там увидел я уж не знаю...

| Сообщение посчитали полезным:

depler пишет:
залезть в артмани и поискать заветную строчку
lol

чтобы выполнить InitializeDll нужно знать еще и параметр (строку) адрес\код...

| Сообщение посчитали полезным:

я ж гарю сильно стукнуло

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

VIAGRA_XXL пишет:
чтобы выполнить InitializeDll нужно знать еще и параметр (строку) адрес\код...
Ну так что может помешать ;) дикая тусня длл по памяти ?

| Сообщение посчитали полезным:

pavka пишет:
дикая тусня длл по памяти ?
так че БОЛТ, что ли???

| Сообщение посчитали полезным:

Smon
ну ты ваапще зверь, скажи лучше что это за такое за хрен поймешь че, давай кались!
вопросы
у тебя прот так OEP тырит чтоле или это типа что-то на подобе маркеров было наложено на OEP?
любой кодес в проге можно в такую кашу превратить, как это сделано в HeavyProtected.exe на OEP?
я сегодня на все дела член поклал, буду сидеть разбирать ужаснах как интересно

| Сообщение посчитали полезным:

Prince[ART]
Да, именно так, причём в HeavyProtected это только на оеп такой код. Кроме этого еще имеется четыре вида других маркеров - Crypt, Clear, Envelope и DynamicExecution, так что

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

DIMAIN пишет:
так че БОЛТ, что ли???
Ноборот что мешает тебе посмотреть

| Сообщение посчитали полезным:

pavka пишет:
с таким же успехом и олиным загрузчиком запускать
каким образом???

| Сообщение посчитали полезным:

Prince[ART]
Вот ReverseMe, который обещал, с маркером на алгоритме - требуется обратить алго взад - т.е. чтобы в нижнем эдите текст после нажатия кнопки ок всегда совпадал с верхним. Варианты обращения любые (распаковка, инлайн и т.п.) - главное результат.

f703_19.10.2007_CRACKLAB.rU.tgz - ReverseMe.exe

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon
Привет брат!
бгг, в названии темы как раз ReverseMe и не хватает %)
псиб, посмотрю скорее всего завтра, дела мля ;(

аффтар ИДО 5.0 кг/ам, за что такие большие жидошекеля просит хз, вот багу нашел
вот такую инструтцию показывает как
8B 15 18 5B 45 00 mov edx, ds:455B18h

а должно быть как в олько
8B15 185B4500 MOV EDX,DWORD PTR DS:[455B18]

вот я тупо закопипастил асмкодес, а надо было бинарик и результат получается другой, прога падала, мля этот ильfack цуко стока матов послушал, альбом димы иплана меньше по времени, как я его тока там ни называл, ну да ладно

Smon пишет:
главное результат.
дада, результаты есть! Возможно все его анпакнули и я уже последний, но зато сам ;)
проверь такой ли стаб у оригинала проги HeavyProtected.exe ???
вот результат скрипткодеса который я написал, находит за пол минуты весь стаб очищенный
PUSH EBP
XCHG ESP,EBP
SUB EBP,10
XCHG ESP,EBP
MOV EAX,456B08
CALL 004060FC
MOV EAX,458058
MOV EAX,DWORD PTR DS:[EAX]
CALL 004544A4
MOV EAX,458058
MOV EAX,DWORD PTR DS:[EAX]
MOV EDX,456D48
CALL 004540A4
MOV ECX,45813C
MOV EAX,458058
MOV EAX,DWORD PTR DS:[EAX]
MOV EDX,DWORD PTR DS:[455B18]
CALL 004544BC
MOV EAX,458058
CALL 0045453C
CALL 00404124

| Сообщение посчитали полезным:

Prince[ART] пишет:
Возможно все его анпакнули
нет, еще никто

Prince[ART] пишет:
вот результат скрипткодеса который я написал
для иды ?

Prince[ART] пишет:
8B 15 18 5B 45 00 mov edx, ds:455B18h
а должно быть как в олько
8B15 185B4500 MOV EDX,DWORD PTR DS:[455B18]
Если следовать этому, то стаб практически правильный.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Smon пишет:
Prince[ART] пишет:
Возможно все его анпакнули
нет, еще никто


х.з. че там накодил проц грузит на все 100 и не запускается
P.S: XP SP2

-----
Nulla aetas ad discendum sera

| Сообщение посчитали полезным:

Анпакнутая весит 1 метр реверсми написан на дельфи7

| Сообщение посчитали полезным:

Sunzer
Ну да, без vcl, в оригинале весит 20 кб, в запакованном - 40, а то что ты называешь анпакнутая - это видимо просто дамп ;)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

Это прот скоммуниздил с OEP у ReverseMe
push ebp
xchg esp, ebp
sub ebp, 18h
xchg esp, ebp
mov eax, 4056D8h
call 00403954
mov ebx, 407684h
а это такой прыжок на начало расшифровки стаба
push 405736h
retn
Сейчас пропатчил запустил, вроде работает, вдруг еще кто-то будет реверсить, может пригодиццо

| Сообщение посчитали полезным:

Prince[ART] пишет:
а это такой прыжок на начало расшифровки стаба
push 405736h
retn
Обыкновенный crypt маркер на oep

Prince[ART] пишет:
вдруг еще кто-то будет реверсить, может пригодиццо
Не думаю что это ковыряет еще кто то кроме тебя

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Prince[ART]
как импорт восстанавливал?
Smon
прот кстати ничего такой...

| Сообщение посчитали полезным:

Prince[ART] пишет:
а это такой прыжок на начало расшифровки стаба
push 405736h
retn

Тю, в лучших традициях PE Compact'a.

| Сообщение посчитали полезным:

VA_DOS пишет:
Тю, в лучших традициях PE Compact'a.
Тогда уж ASPAck 2.12.

-----
Программист SkyNet

| Сообщение посчитали полезным:

может помочь ктото анпакнуть?
ядреный пакер rapidshare.com/files/64313883/l2wmx.rar.html

| Сообщение посчитали полезным:

Baza2007
1. в запросы
2. там пеп

| Сообщение посчитали полезным: