Привет всем Появилось немного свободного времени и я тоже решил создать свой блог. Пока я до конца не определился что здесь будет, но учитывая что последней моей страстью являются протекторы, то здесь они собственно и будут. Дело в том, что я обладаю довольно внушительной коллекцией упаковщиков и протекторов, но как правило довольно много у меня незарегестрированных штук. Вот потихоньку изучая каждый протектор я их и регистрирую. В данный момент я увлёкся протектором Obsidium, поэтому с него и начнём. Что приветствуется в моём блоге:
1- Вопросы о работе того или иного протектора
2- Собственно ответы на них людей, которые желают помочь
3- Обсуждение какого либо бага в распакованном мною варианте
Что не приветствуется:
1- Высказывания типа того, что нахрена релизить проты
2- Просьбы о распаковке того или иного протектора
3- Просьбы поделиться скриптами
4- Вопросы, о том что в моей коллекции есть и просьбы дать это.
Как то вот так
P.S. Сразу объясню, что причины по которым я распаковываю прот это: 1) нет ключа (убрать ограничения), 2) запакованный не работает на моей системе, 3) просто интересно

P.S> Мы тут подумали и я решил, что релизить взломанные проты не есть гуд. Всё таки потом сам же буду с ними мучаться. Поэтому я пришёл к выводу, что проты-то мы релизить будем, но под паролем. Все кто что-то качает из моего блога за паролем в личку. Получать пароли будут проверенные люди, соответственно залётные в пролёте Пароль на все архивы будет один, так что если я его один раз дал, то на остальные архивы пароль просить уже не надо будет

| Сообщение посчитали полезным:

--> Obsidium 1.0.0.69 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65921
--> Obsidium 1.1.1.4 (Unpacked Djeck, No NagScreen, FULL REGISTERED VERSION) <-- http://multi-up.com/65924
--> Obsidium 1.2.0.0 (Unpacked Djeck, No NagScreen, FULL REGISTERED VERSION) <-- http://multi-up.com/70911 NEW
--> Obsidium 1.3.0.0 (Unpacked Hexer, Fix Djeck, No NagScreen) <-- http://multi-up.com/65925
--> Obsidium 1.3.0.1 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65927
--> Obsidium 1.3.5.0 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65928
--> Obsidium 1.3.5.2 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65929
--> Obsidium 1.3.5.7 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65932
--> Obsidium 1.3.5.9 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/69027 NEW!
--> Obsidium 1.3.6.0 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65934
--> Obsidium 1.3.6.1 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65936
--> Obsidium 1.3.6.3 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/66368

| Сообщение посчитали полезным:

Djeck, не лукавь
Ты, наверняка расковырял и по-свежее версию (типа 1.4). Мож, тоды с нее и начнем и заодно расскажешь поподробнее, чо там еще добавили нового в ней?

| Сообщение посчитали полезным:

Ну как-то хочется попорядочку Сейчас остановился на версии 1.3.5.0 (в смысле уже готова, осталось напильником подработать). Версия 1.4 которая есть у меня сразу просит ключ. Насколько я понял, там без ключа даже в демо режим не зайдёшь, так как ключа у меня нет, поэтому это версию оставил на потом.
Вообще идя по развитию сабжа каких-то кардинальных изменений я пока не заметил. Пока увидел, что первые версии сабжа (1.0.0.69, 1.1.1.4, 1.3.0.1) хранят ОЕП в выделенной области памяти, а вот в 1.3.5.0 наконец ОЕП находится в самом дампе. С импортом с первой версии замуток больших впринципе нет, только чем дальше, тем больше мусора обсид пихает. Правда с импортом я немного позанимался секасом, вроде сначала анпакнул, всё работает, а на других системах облом. Так что пришлось фиксить. Единственное насколько я знаю в версии 1.4 прибавилась виртуализация кода. Скажу честно вещь не самая приятная, с ней ещё практически не разбирался. Но время-то ещё есть

| Сообщение посчитали полезным:

Djeck пишет:
обсид в версии 1.3.5.0 перестал перемещать стартовый код
Опция есть, просто кражей стаба, уже никого не напугаешь.
Поковыряй мод 0DBG_themida, там как раз на ольку накинули обсид 1.3.5.0

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Опция есть, просто кражей стаба, уже никого не напугаешь.
Да я не про кражу OEP В первых версиях основной код программы был не в пределах дампа. Т.е. обсид сначало выделял помойму два куска выделенной памяти и там помещал свой код. Таким образом получалось, что основной код программы находился, например по адресу 00ABXXXX, а вот в последующих версиях всё, как и во многих программах, память выделяется но мемори бряк на секцию кода (004XXXXX) приводит нас на ОЕП, ну или на False OEP

| Сообщение посчитали полезным:

Djeck дык у тебя, похоже, итак весь арсенал этого продукта. Проще уж тоды озвучить те версии, какие существуют в природе и в розыске.
Djeck пишет:
...убрана проверка, когда запакованный файл работал всего сутки
А экскурс на эту тему будет небольшой?
ADD: кста, у дем есть такой косяк - они не сохраняют и не загружают проект, а версия 1.1.1.1 походу в розыске.

| Сообщение посчитали полезным:

Djeck отличненько, теперь буду знать к кому обращатся за помощью по обсиду....

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

Valemox пишет:
А экскурс на эту тему будет небольшой?
Чуть попозже. Сначало разберусь до конца с протом. Вот я например никак не пойму как работает:
1- Виртуализация кода. Как там вызываются Call понятно, например так:


Вот таким макаром переходим на нужный нам адрес. А вот какие аргументы и как берутся чё-то не пойму.

2- Обфускация. Чё это такое? Если есть у кого прога накрытая с этой опцией прошу скинуть.

После того, как разберусь, попытаюсь тутор по сабжа написать.

Valemox пишет:
кста, у дем есть такой косяк - они не сохраняют и не загружают проект, а версия 1.1.1.1 походу в розыске.
Это не косяк Это ограничение демо-версии. Без ключа, эти функции не раскриптовываются. Можно, конечно с версии с ключом рипануть код, но я уже так пытался делать и охерел. Так что без загрузки проекта. А кстати проект сохраняется, но не загружается.

| Сообщение посчитали полезным:

Судя по размеру запроченных файлов, эта версия, походу, поменьше мусора оставляет в кодесе. Иль на то, может, какие другие причины есть?

| Сообщение посчитали полезным:

Valemox пишет:
Судя по размеру запроченных файлов, эта версия, походу, поменьше мусора оставляет в кодесе. Иль на то, может, какие другие причины есть?
Честно не обращал внимание, вроде всё по старому. Импорт выглядит так:


Хз, но я бы не сказал, что мусора меньше. В остальном коде такое же мясо. Правда смотрел код на одной программе с последним обсидом, там и вправду мусора очень мало. Зато есть виртуализация кода

| Сообщение посчитали полезным:

Если есть у кого-нибудь прога покрытая обсидом скиньте пожалуйста. Желательно, чтобы был крипт по ключу и ключ был в комплекте, интересно глянуть на процедуру расшифровки. Если прога окажется полезной, то вообще шоколад

| Сообщение посчитали полезным:

А есть-ли какой нибудь нормальный способ определить какая именно версия Обсида навешана? Публик-сигни для PEiD не работают...
hxxp://dsassist.narod.ru - там всё покрыто Обсидом.. Триал ключ можешь запросить там же.

| Сообщение посчитали полезным:

DarkWolf пишет:
А есть-ли какой нибудь нормальный способ определить какая именно версия Обсида навешана?
Да-да, очень-очень интересует можно ли как-то определить точную версию, пожалуста раскажи, если это секрет, тогда отпишись в ПМ я обясню для чего это нужно

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

Djeck А может ты напишешь плаг к PeID для обсида так как ты хорошо разбираешся в версиях...

-----
minimaL_patсh на руборде

| Сообщение посчитали полезным:

SemDJ пишет:
Djeck А может ты напишешь плаг к PeID для обсида так как ты хорошо разбираешся в версиях
Не-не, есть лучше предложение

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

borov пишет:
Не-не, есть лучше предложение
Ну, не иначе, как анпакер для всех версий обсида (окромя последней)

| Сообщение посчитали полезным:

DarkWolf,borov
Пока я данной проблемой не занимался. Но я думаю наврядли можно будет определить прям уж точно до билда. Ну например так 1.3.X.X можно и по коду на глаз. В будущем нужно лучше посмотреть.

| Сообщение посчитали полезным:

Djeck, дык ReRelease для всех остальных версий тоже потом сделаешь и выложишь? Иль не факт?
ЗЫ. Да и доку по восстановлению криптованных участков, было бы неплохо, тож "курнуть".

| Сообщение посчитали полезным:

Valemox пишет:
дык ReRelease для всех остальных версий тоже потом сделаешь и выложишь? Иль не факт?
ЗЫ. Да и доку по восстановлению криптованных участков, было бы неплохо, тож "курнуть".
Да нет наверное для других делать не буду. Я же без ключа восстанавливать не могу, просто код для этой версии рипал из версии 1.3.0.4, скажу честно занятие не из самых приятных. Есть ещё оригинальная версия Obsidium 1.2.0.0 с ключом, но её наверное смысла распаковывать нету, всё и так прекрасно работает.
По поводу доков: да про обсид скажем так не густо материала. Всё что я нашёл это статьи хагара про антиатладку и про иат. Мне лично они вообще не понравились, как-то не очень всё понятно. Про крипт там вообще ни слова. Есть ещё один док про первую версию обсида, но там вообще ничего не понятно, какие-то лишние телодвижения автор делает. Так, что в будущем наверное накалякою пару строк про этот протектор

| Сообщение посчитали полезным:

Уже как-то спрашивал по поводу v1.1.1.1 ее в твоем списке нету.

| Сообщение посчитали полезным:

Djeck
И вот ещё вопрос - обисид начал стирать железные бряки? Вот прога, которую дал DarkWolf,
снимает железяки. Или это фантомка шалит?

-----
Research For Food

| Сообщение посчитали полезным:

Djeck пишет:
кстати, по поводу тестирования...
Все, что ты вылаживал на XPP SP2, робит на ура
Думаю, были б косяки, давно уж кто-нить отписался.

| Сообщение посчитали полезным:

Блин, не заметил одной мелочи - там на той проге ещё и обе библиотеки обисидом накрыты
К примеру Decoder.dll - OEP = 100CEC20, библиотека написана на Microsoft Visual C++ 8.0 DLL Method2.
Импорт в ней пока не добил. Мож кто знает что прот делает с библиотеками?

PS:
С импортом в библиотеках та-же вздрочка -


-----
Research For Food

| Сообщение посчитали полезным:

Не совсем уверен, зачем нужен только импорт, благо практически во всех протах его можно полностью в автоматическом режиме получить, ну да ладно. В любом случае аттачил бы ты лучше импорт как дерево или txt, а не вываливал в постах, аж страшно стало.

| Сообщение посчитали полезным:

daFix пишет:
И вот ещё вопрос - обисид начал стирать железные бряки? Вот прога, которую дал DarkWolf,
снимает железяки. Или это фантомка шалит?
Да походу обсид шалит, я тоже замечал. Так как до обработчика исключений железяки работают, а после перестают А попадаем туда с помощью всё тех же неверных опкодов, чаще всего DIV EAX и UD2
daFix пишет:
С импортом в библиотеках та-же вздрочка -
Новенький обсидмусора нет, версия наверное 1.3.6.X.
Проверки
test eax, 4
и
test eax, 80
есть не что иное как опция протектора Динамический доступ к API защиты или как в оригинале Dynamic protection API access. У кого попадётся не завидую Не намного сложнее, но потрахаться придётся.
Archer пишет:
Не совсем уверен, зачем нужен только импорт, благо практически во всех протах его можно полностью в автоматическом режиме получить, ну да ладно. В любом случае аттачил бы ты лучше импорт как дерево или txt, а не вываливал в постах, аж страшно стало.
Да импорт так для примера кто не знает. Попозже другие опции защиты покажу. А насчёт что в постах страшно смотриться это да согласен. В следующий раз лучше приатачу

| Сообщение посчитали полезным:

Кому интересно, таблица импорта в Obsidium 1.3.6.0


1709_03.03.2009_CRACKLAB.rU.tgz - IATObsidium.rar

| Сообщение посчитали полезным:

Посмотрел я насчёт железных бряков. Это стопудова проделки шаловливых опкодов обсидиума. Причём делает он это весьма интересно.
Такой командой:
IDIV ECX
вызывает исключение, затем в обработчике убирает наш бряк. Но...затем зачем-то такой командой
UD2
опять вызывает обработчик и ставит наш бряк обратно
Итак несколько раз, так что не всегда заметишь в дебаг регистрах, что бряка нет. Типа без палева. Теперь о хорошем. Фантом с опцией protection DRx и обсидиум нервно курит в сторонке, а мы пользуемся железяками. Фантом меняет:
7C90E460 8B1C24 MOV EBX,DWORD PTR SS:[ESP]
7C90E463 51 PUSH ECX
7C90E464 53 PUSH EBX
7C90E465 E8 E6C40100 CALL 7C92A950
7C90E46A 0AC0 OR AL,AL
7C90E46C 74 0C JE SHORT 7C90E47A
7C90E46E 5B POP EBX
7C90E46F 59 POP ECX
7C90E470 6A 00 PUSH 0
7C90E472 51 PUSH ECX
7C90E473 E8 C8EBFFFF CALL ZwContinue
7C90E478 EB 0B JMP SHORT 7C90E485

на

7C90E460 8B1C24 MOV EBX,DWORD PTR SS:[ESP]
7C90E463 51 PUSH ECX
7C90E464 53 PUSH EBX
7C90E465 - E9 D21B8383 JMP 0014003C <-------------------заменили
7C90E46A 0AC0 OR AL,AL
7C90E46C 74 0C JE SHORT 7C90E47A
7C90E46E 5B POP EBX
7C90E46F 59 POP ECX
7C90E470 6A 00 PUSH 0
7C90E472 51 PUSH ECX
7C90E473 E8 C8EBFFFF CALL ZwContinue
7C90E478 EB 0B JMP SHORT 7C90E485

Молодцы ребята

| Сообщение посчитали полезным:

Djeck пишет:
7C90E465 - E9 D21B8383 JMP 0014003C <-------------------заменили

не только, ещё ZwContinue зучим

з.ы. на анпакер разродишься? ;)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn
кстати давно смотрел ацпротект в нём наверное как ты знаешь, тоже есть очистка бряков, но там фантомка бессилен, просто происходит ошибка приложения, а тут всё гуд.
Hellspawn пишет:
з.ы. на анпакер разродишься? ;)
до этого ещё далеко, но в привате такие слухи ходят

| Сообщение посчитали полезным: