Сейчас на форуме: (+3 невидимых)

 eXeL@B —› Дневники и блоги —› Demon666 blog: VMProtect или ужасы Отца Дерматолога?!
Посл.ответ Сообщение

Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

Создано: 20 декабря 2008 20:53
· Личное сообщение · #1

Варнинг! – тех, кого плющит от моей писанины, просьба данный блог не посещать
===========================================

Отписалось только два чела, кто готов делать/сделать заказ
Дабы все это не умерло, решил блог создать и немного "преваде-зероди" выложить, вот.
То что вы здесь можете увидеть, может ввергнуть в состояние шока – несццать это нормально
Варнинг! - инфа(че тут греха таить) точно не для нубиков, для этого есть раздел новичков – он вас ждет
Сам не знаю нах мне это нужно, просто все(побежали и я побежал) забрали себе по проту и релизят не спеша статейки/туторы
Гы-гы, теперь и мну соперник нууби-к появился, все только начинаеццо %))
Что мне в этом проте VMProtect нравится – так это то, что дерматолог всегда на связи
Стоит че-нить написать о проте и изменения делаются так что все написанное превращается в мусор
Порномультег с фулки заснял(ща эт модно, бгг), ток че-то он у мну 130kb получился %))) (режиссер с меня хреновый нах наверно) – варнинг: без яда не смотреть!
demonteam.narod.ru/download/devmp.rar
Сама суть там видна полностью, так что если у кого были непонятки с протом, после просмотра.... ИМХО

ЗЫ: не надо здесь в блоге срать, тут будет только истена, а сталобыть и правдо

Пссс..
1.7 – это да, в полное гавно нах код превращает!

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com





Ранг: 116.6 (ветеран), 8thx
Активность: 0.050
Статус: Участник

Создано: 20 декабря 2008 21:49
· Личное сообщение · #2

Demon666 пишет:
Гы-гы, теперь и мну соперник нууби-к появился, все только начинаеццо %))

Что могу сказать - садитесь, опять двойка )
Нубик вообще не занимался проблемой декомпиляциии - в купленной версии вместо завиртуаленных кусков были вставлены куски и демки (немного доработанные) - мне до сих пор не понятен смысл этого (тем более что функционал работает наполовину).

P.S. Видео впечатляет. Даже я в нем мало что понял ) Снимайте исшо.



Ранг: 500.5 (!), 8thx
Активность: 0.230
Статус: Участник

Создано: 21 декабря 2008 00:49
· Личное сообщение · #3

интересно, какой смысл восстанавливать в официально купленной версии завиртуаленные куски, тем более кусками из демки? Ну разве что попытаться избавиться от вотермарков отрезав секции прота, там же вм в целостности, темните уважаемый ;)

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels





Ранг: 303.7 (мудрец), 4thx
Активность: 0.190
Статус: Участник
tPORt Manager

Создано: 21 декабря 2008 00:54
· Личное сообщение · #4

Помоему ежу уже понятно, что эти слова были сказаны, чтобы спасти положение, думаю все помнят высказывание про жопу и резкое движение по отношению к ней..




Ранг: 116.6 (ветеран), 8thx
Активность: 0.050
Статус: Участник

Создано: 22 декабря 2008 06:12
· Личное сообщение · #5

Smon пишет:
интересно, какой смысл восстанавливать в официально купленной версии завиртуаленные куски, тем более кусками из демки? Ну разве что попытаться избавиться от вотермарков отрезав секции прота, там же вм в целостности, темните уважаемый ;)

А вы думаете это им помогло? Купивший товарисч был сразуже забанен.




Ранг: 199.9 (ветеран), 4thx
Активность: 0.120.02
Статус: Участник

Создано: 22 декабря 2008 20:12 · Поправил: YDS
· Личное сообщение · #6

dermatolog пишет:
А кому щаз легко? )

Да вот именна! Один х-й - заломаем любой софт под ВМпротом по-любому!




Ранг: 681.5 (! !), 405thx
Активность: 0.420.21
Статус: Участник
ALIEN Hack Team

Создано: 23 декабря 2008 13:12
· Личное сообщение · #7

Demon666, можешь переложить своё творение с Народа?

-----
Stuck to the plan, always think that we would stand up, never ran.





Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 23 декабря 2008 14:17
· Личное сообщение · #8

ARCHANGEL пишет:
Demon666, можешь переложить своё творение с Народа?

rapidshare.de/files/41195128/devmp.rar.html

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube





Ранг: 328.7 (мудрец), 73thx
Активность: 0.170.01
Статус: Участник

Создано: 23 декабря 2008 18:00
· Личное сообщение · #9

-= ALEX =- пишет:
Не понял смысла видео!!

а это нужно в mp3 конвертнуть и на слух пробовать




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 23 декабря 2008 20:18
· Личное сообщение · #10

За ораторским искусством народ не увидел, что же это за хрень и накой она нужна.
Поясняю: собрана софтина, которая сдирает что-то с вмпрота (видимо, трассу). И есть паблик просмотрщик этой трассы, который и есть на видео. Дык вот товарищ предлагает за лавандос склепать трассу с нужной вам софтины и дать этот просмотрщик.



Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

Создано: 23 декабря 2008 22:51 · Поправил: Demon666
· Личное сообщение · #11

dermatolog пишет:
Даже я в нем мало что понял

Гы, кто те сказал что ты шарешь?
Читай, стоя и в слух!
Demon666 пишет:
инфа(че тут греха таить) точно не для нубиков

Demon666 пишет:
для этого есть раздел новичков – он вас ждет

я тебя уже давно и неоднократно RTFM посылал читать!
Или ты каждый день крякед прожек делаешь?, тройку кейгенов в неделю релизишь?, аль в тиме треалишь?
Бу-го-га, не смеши народ шарящий
Ай даже уверен что ты не понял что OKOB в другом блоге зарелизил, ибо язык про жопу не повернулся написать!
Ай не ожидал что ты так низко из-за бабла и жидоклиентов так в чан с дерьмом опустишься!
Мне твой прот нах не нужен, мну хочет чтобы на лабе был фрилансенг(с достойной оплатой реверсеров) и система гарант была, чтобы реверсеры не уходили нах
Имена тех кто покинул нашу сцену, можно долго перечислять!
ЗЫ: если мну начнет рвать, так будет трещать до самых ушей нах! %))
ЗЫЫ: давай уже по честному как есть - чтобы не падать в грязь лицом(может уже хватит фраз для мяса!?)

dermatolog пишет:
Что могу сказать - садитесь, опять двойка
Нубик вообще..

Правильно нубик и сделал, что зарелизил – больше будут вешать(ИМХО), меньше покупать %))
Особенно мну пацталом плакал про адццкую торговлю по пять "юаней", бу-го-га

Гы-гы, ну как десять заказчиков набереццо я открою сервис и ты(как и все остальные, если заказчики не захотят это приватом сделать(один уже предложил так сделать)) сможешь заюзать паблик вьювер, а там уже и увидишь что это за нах такой %)))
Тут ведь смысл какой – у тебя будет один клиент, который сделает заказ("одна" прожка – один клиент), а у меня может быть на одну эту прожку – несколько(десятков) заказчиков + новая версия новый заказ, считать думаю умеешь..
Плюс тут один – сервис заставить снизить цены монополистов, иначе будет выгоднее заказать жертву ;)
А то ахуели совсем, воздух продают по 600 баксов
1000 рублей – нормальная планка(ИМХО) в качестве регулятора цен

Единственное к заказчикам требования повысились – указывать нужно в обязательном порядке линк на подозрительную жертву содержащую засранчика ;)
И я из первых десяти заказчиков выберу двоих(рандомно) и они получат на время существования сервиса бесплатную постоянную декомпиляцию, а еще для троих(тоже рандомно) скидки на 50% постоянные...

r99
Красавчег, зачОд!!!

ARCHANGEL пишет:
можешь переложить

У мну траблы с зазеркальем, просить надо у тех, кто может асилить!
mak, пасиба за зеркало, но варнинг за дезу(в следующий раз думай че пишешь!)
ЗЫ: !!!если ты не смог асилить, то это не значит что другие это не смогут сделать!!!

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com




Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

Создано: 23 декабря 2008 22:52 · Поправил: Demon666
· Личное сообщение · #12

Таг, теперь кто-то там писсдел что у нас саппрот хреновый – ну что же, проверим %)))
Здесь я опишу RTFM и что есть антиотладко в VMProtect!
Жертва – обычный пример месаджабокса, накрытый VMProtect Professional V1.70.4.CracKed.by.Nooby
В архиве жертва и порно-ресуног %))(который дополняет ниже написанное)
demonteam.narod.ru/download/msgbox.vmp.rar

Запустим жертву в олечге
И переходим сразу на адрес 0041865A, там у нас находится конец заморфеной банально до ужаса функи поиска адреса "экспорта дебуг-апи" и ставим железный бряк и F9
Тормазнулись, в EAX будет адрес IsDebuggerPresent – нас он не интересует, еще раз F9(а да чуть не забыл, в фантомке для теста установите одну только галочку на - hide from PEB)
Тормазнулись, в EAX будет адрес CheckRemoteDebuggerPresent
Вот ее кодес:
Code:
  1. 7C859902   .  8BFF              MOV EDI,EDI
  2. 7C859904   .  55                PUSH EBP
  3. 7C859905   .  8BEC              MOV EBP,ESP
  4. 7C859907   .  837D 08 00        CMP DWORD PTR SS:[EBP+8],0
  5. 7C85990B   .  56                PUSH ESI
  6. 7C85990C   .  74 35             JE SHORT 7C859943
  7. 7C85990E   .  8B75 0C           MOV ESI,DWORD PTR SS:[EBP+C]
  8. 7C859911   .  85F6              TEST ESI,ESI
  9. 7C859913   .  74 2E             JE SHORT 7C859943
  10. 7C859915   .  6A 00             PUSH 0
  11. 7C859917   .  6A 04             PUSH 4
  12. 7C859919   .  8D45 08           LEA EAX,DWORD PTR SS:[EBP+8]
  13. 7C85991C   .  50                PUSH EAX
  14. 7C85991D   .  6A 07             PUSH 7
  15. 7C85991F   .  FF75 08           PUSH DWORD PTR SS:[EBP+8]
  16. 7C859922   .  FF15 AC10807C     CALL DWORD PTR DS:[<&ntdll.NtQueryInformationPro>
  17. 7C859928   .  85C0              TEST EAX,EAX
  18. 7C85992A   .  7D 08             JGE SHORT 7C859934
  19. 7C85992C   .  50                PUSH EAX
  20. 7C85992D   .  E8 49FAFAFF       CALL 7C80937B
  21. 7C859932   .  EB 16             JMP SHORT 7C85994A
  22. 7C859934   >  33C0              XOR EAX,EAX
  23. 7C859936   .  3945 08           CMP DWORD PTR SS:[EBP+8],EAX
  24. 7C859939   .  0F95C0            SETNE AL
  25. 7C85993C   .  8906              MOV DWORD PTR DS:[ESI],EAX
  26. 7C85993E   .  33C0              XOR EAX,EAX
  27. 7C859940   .  40                INC EAX
  28. 7C859941   .  EB 09             JMP SHORT 7C85994C
  29. 7C859943  />  6A 57             PUSH 57
  30. 7C859945  |.  E8 76F9FAFF       CALL 7C8092C0
  31. 7C85994A  |>  33C0              XOR EAX,EAX
  32. 7C85994C  |>  5E                POP ESI
  33. 7C85994D  |.  5D                POP EBP
  34. 7C85994E  \.  C2 0800           RETN 8


Теперь если мы запустим, то получим мессадж:
A debugger has been found running in your system.
Please, unload it from memory and restart your program.


Так теперь нам предстоит разобраццо, почему так происходит
Если посмотреть на:
7C85993C . 8906 MOV DWORD PTR DS:[ESI],EAX
То в ESI будет 0012FF98(у некоторых может этот адрес отличаццо от моего, ибо стек)
А в него ложиццо значение регистра EAX, а оно у нас равно 1
Теперь что же произойдет далее, а для этого посмотрите(внимательно!!!) на выделенные участки красным на рисунке из архива
Если там(по адресу 0012FF98) будет единица то расшифруется один адрес, который заставит вм покозать мессадж что мы под отладчиком
Но если там будет ноль то расшифруется другой адрес который передаст управление на....GetThreadContext..
Сталобыть даже нубу должно быть понятно из рисунка как осуществляется расшифровка адреса
Те кто не асилит - просьба тут не постить гуано постенги, этот прот не для вашего уровня!!!(ИМХО)
ЗЫ: а вообще есть желание закрыть блог и похоронить инфу о VMProtect ;(
видать мну здесь на лабе не достойным нубом считають......

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com





Ранг: 271.6 (наставник), 2thx
Активность: 0.30
Статус: Участник

Создано: 23 декабря 2008 23:08
· Личное сообщение · #13

Demon666
Жесть! Респект за такие вещи
Demon666 пишет:
Теперь если мы запустим, то получим мессадж:

ыыы. а я не получил месадж и оно запустилос

-----
iNTERNATiONAL CoDE CReW




Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

Создано: 24 декабря 2008 00:49
· Личное сообщение · #14

Spirit пишет:
а я не получил месадж и оно запустилос

Ну значед у тебя сборка оли дебаговны сильна против антиотладки вмпрота ;)

Сейчас вот подумал: - действительно, а нах мне то это надо...
Заипали меня эти постоянные гуано терки с модераторами, короче..
Бред. Закрыто!©

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com





Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 24 декабря 2008 20:06
· Личное сообщение · #15

Не люблю, когда такого рода вопросы повисают в воздухе, поэтому всё же осмелюсь воспользоваться модерскими полномочиями, чтобы ответить.
Во-первых, приношу извинения, если кого-то обидел и тд, видимо, я плохо выразил свою мысль.
Когда читал топик, мне и в ацку ещё постучал чел с вопросами, что это вообще такое и что с этим делать. Судя по вопросам в топике, не он 1 не понял. Я лишь взял и попытался разъяснить народу. Всякие твои неподцензурные матюги и прочую брань спишу на плохой день и сделаю вид, что не видел. На остальные вопросы, типа померяться, лучше эмуль или что ещё, что умею я, кто за кого впрягся и тд отвечать смысла не вижу. Топик пока оставлю, если считаешь нужным-закрывай.



Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

Создано: 25 декабря 2008 02:53 · Поправил: Demon666
· Личное сообщение · #16

Archer
OK. Почистил постенг #11
Тебе один написал, а мне уже больше ста человек (я точно не считал, но может даже больше) кто задавал разные вопросы о VMProtect (некоторые несколько раз писали, оставляли аськи, ссылки на приват форумы, приглашали ффступить и скомпилировать итд.)
Может будем уважать все таких их мнение (этих ~100 человек, некоторые из них из почитаемых элитных тим!)?, а не этого одного хуиз знает кого
Archer пишет:
мне и в ацку ещё постучал чел с вопросами

который даже не знает кто он и нах он существует?!!!
И посмотри на счетчик просмотров – за два дня он перевалил за 1000 просмотров
Значит людям блог интересен?!!..
Я блог закрыл потому что по делу(о видео) никто не отписался, а пишут о жидошаре и прочий стафф, ты кстате тоже!!!

Archer пишет:
Всякие твои неподцензурные матюги

Demon666 пишет:
Варнинг! – тех, кого плющит от моей писанины, просьба данный блог не посещать


Ultras
Потер твой пост нах, чтобы ты(бу-го-га) очередной раз не позорился %)))
Ultras пишет:
И возьми наконец 1.7 фулл для тестов

Скачай чтоле msgbox.vmp.rar посмотри чем там накрыто и попробуй еще раз написать что это демко %))) Лоооооооооол...
Еще раз пожалуй напишу
Да это реально, то что вы тут думаете что это не возможно!
Весь декомпиль(ну если фсе модули сложить вместе) весит ~46kb - у вас нет просто тех знаний, которые помогли бы вам осознать, что это возможно!!!
Кстати то что там на видео это всего одна команда JCC addr, просто там надо влево чуть поскролить, там такие есть плюсики %)) (treeview это называется) это она просто развернута
Но это внутренняя команда vm, а она входит в состав уже другого дерева где естественно отображаеццо исходный код, который был под vm я не стал его показывать в видео и не буду,
потому как это есть доказательство для жидов, чтобы больше никогда не вешать вмпрот
Для сервиса такое положение не приемлемо, пусть у жидов будут вечные сомнения что это реально!

dermatolog
Мались нах детка, чтобы появились эти десять заказчиков, если их не будет я особо церимониццо не стану - а официально зарелижу исходники от твоего прота и буду этими исходниками(с протом) барыжничать!!! И сервис уже через сапу итд. пропущу!
Так что не тяффкай там песик %)))
Ты просто не можешь представить, сколько людей тебя хотят порвать..

Варнинг – весь стафф, далее будет удаляццо с понижением ранга -3
Все постенги Дерматолога будут автоматом удаляццо - чел реально пиариццо, чтобы спости свою жопу!
Запрещено:
Задавать вопросы или писать: - "а там я не понял, можно подробнее" итд.
Постить постенги с "двумя словами" (исключением являются только те посты, которые будут являться ответом на вопрос)
Писать да я разбирал эту VM и тусоваццо в черных очках
Просить у аффторов статей инструменты, скрипты итд.(пользуйтесь тем что здесь релизят и радуйтесь)
ЗЫ: не надо мне доказывать что вы разобрали эту VM, постите свои знания здесь(если они у вас есть), не жадничайте! подарите их нуждающимся!!!

Разрешено – у вас есть что-то типа статьи о VMProtect и вы точно знаете про что написали
По-существу обсуждение статей представленных здесь или с других сайтов, а также ссылки на них
Новости о VMProtect, ссылки на скарженные релизы VMProtect`а – типа: VMProtect Professional V1.70.4.CracKed.by.Nooby
Все то, что порочит честь дерматолога и его прота
!!!Чтобы было все в одном месте!!!

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com





Ранг: 44.2 (посетитель), 69thx
Активность: 0.140.02
Статус: Участник

Создано: 25 декабря 2008 03:19
· Личное сообщение · #17

бгг, топег пиписькомерка.. я так понял ГПЧ заказал дерматолога
чел пеши дальше, будет интересно посмотреть чем это закночится.
ЗЫ: 1к просмотров не показатель, моя шамбала набрала 1.2к за 2 дня, хотя это говорит всего об одном, на форуме больше идиотов, чем толковых людей.
удачи.




Ранг: 568.2 (!), 465thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 25 декабря 2008 11:45
· Личное сообщение · #18

Spirit пишет:
а я не получил месадж и оно запустилос

У тебя наверно китайский плагин стоит или бета версия нового фантома который Hellspawn давал тестить,поэто мессаж и не вылазил

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.





Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 25 декабря 2008 16:19
· Личное сообщение · #19

Щас много людей работают над востановлением исходного кода вмпротект , а мотивация была простая , это как в политике , дали толчок лавине. И она стала увеличиваться. Как резонанс в политике. Те же правила. Борьба между защитой и взломом всегда будет ) , зачем пугать дерматолога , о публикации исходников. Чето как то подетски ... Как сказал бы мой дед , - "Наугал ежа жопой". Судя по тому как развиваются события они всеравно будут опубликованы в массы. Поэтому у тебя еще есть возможность опубликовать их первым Я не тянул за язык об этом ) Но раз так тебе нужно это знать


P.S: И еще не следи за моими словами когда сам выносишь приватные разговоры на публику ,это не по мужски. Так что ваше тщеславие разрушает ваши достоинства.

Видео туттор от нуби как он там лазил по ВМ проту просто добавление к топику. Будет у нас топик видео роликов Уходящего 2008 года. Золотая сцена , только без премий.
www.onlinedisk.ru/file/56452

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube




Ранг: 213.5 (наставник)
Активность: 0.120
Статус: Участник
забанен

Создано: 26 декабря 2008 08:07 · Поправил: Demon666
· Личное сообщение · #20

Заказы на декомпиляцию прог накрытых VMProtect`ом, !!!больше НЕ принимаются!!!

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com



 eXeL@B —› Дневники и блоги —› Demon666 blog: VMProtect или ужасы Отца Дерматолога?!
Эта тема закрыта. Ответы больше не принимаются.
   Для печати Для печати