Сейчас на форуме: (+3 невидимых) |
![]() |
eXeL@B —› Дневники и блоги —› Djeck Blog |
. 1 . 2 . 3 . 4 . >> |
Посл.ответ | Сообщение |
|
Создано: 20 февраля 2009 23:41 · Поправил: Djeck · Личное сообщение · #1 Привет всем ![]() 1- Вопросы о работе того или иного протектора 2- Собственно ответы на них людей, которые желают помочь 3- Обсуждение какого либо бага в распакованном мною варианте Что не приветствуется: 1- Высказывания типа того, что нахрена релизить проты 2- Просьбы о распаковке того или иного протектора 3- Просьбы поделиться скриптами 4- Вопросы, о том что в моей коллекции есть и просьбы дать это. Как то вот так ![]() P.S. Сразу объясню, что причины по которым я распаковываю прот это: 1) нет ключа (убрать ограничения), 2) запакованный не работает на моей системе, 3) просто интересно P.S> Мы тут подумали и я решил, что релизить взломанные проты не есть гуд. Всё таки потом сам же буду с ними мучаться. ![]() ![]() ![]() ![]() |
|
Создано: 21 февраля 2009 00:04 · Поправил: Djeck · Личное сообщение · #2 --> Obsidium 1.0.0.69 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65921 --> Obsidium 1.1.1.4 (Unpacked Djeck, No NagScreen, FULL REGISTERED VERSION) <-- http://multi-up.com/65924 --> Obsidium 1.2.0.0 (Unpacked Djeck, No NagScreen, FULL REGISTERED VERSION) <-- http://multi-up.com/70911 NEW --> Obsidium 1.3.0.0 (Unpacked Hexer, Fix Djeck, No NagScreen) <-- http://multi-up.com/65925 --> Obsidium 1.3.0.1 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65927 --> Obsidium 1.3.5.0 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65928 --> Obsidium 1.3.5.2 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65929 --> Obsidium 1.3.5.7 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65932 --> Obsidium 1.3.5.9 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/69027 NEW! --> Obsidium 1.3.6.0 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65934 --> Obsidium 1.3.6.1 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/65936 --> Obsidium 1.3.6.3 (Unpacked Djeck, No NagScreen) <-- http://multi-up.com/66368 ![]() |
|
Создано: 21 февраля 2009 00:53 · Поправил: Valemox · Личное сообщение · #3 |
|
Создано: 21 февраля 2009 01:25 · Личное сообщение · #4 Ну как-то хочется попорядочку ![]() Вообще идя по развитию сабжа каких-то кардинальных изменений я пока не заметил. Пока увидел, что первые версии сабжа (1.0.0.69, 1.1.1.4, 1.3.0.1) хранят ОЕП в выделенной области памяти, а вот в 1.3.5.0 наконец ОЕП находится в самом дампе. С импортом с первой версии замуток больших впринципе нет, только чем дальше, тем больше мусора обсид пихает. Правда с импортом я немного позанимался секасом, вроде сначала анпакнул, всё работает, а на других системах облом. Так что пришлось фиксить. Единственное насколько я знаю в версии 1.4 прибавилась виртуализация кода. Скажу честно вещь не самая приятная, с ней ещё практически не разбирался. Но время-то ещё есть ![]() ![]() |
|
Создано: 22 февраля 2009 02:07 · Личное сообщение · #5 |
|
Создано: 22 февраля 2009 02:45 · Личное сообщение · #6 Bronco пишет: Опция есть, просто кражей стаба, уже никого не напугаешь. Да я не про кражу OEP ![]() ![]() |
|
Создано: 22 февраля 2009 18:32 · Поправил: Valemox · Личное сообщение · #7 Djeck дык у тебя, похоже, итак весь арсенал этого продукта. Проще уж тоды озвучить те версии, какие существуют в природе и в розыске. Djeck пишет: ...убрана проверка, когда запакованный файл работал всего сутки А экскурс на эту тему будет небольшой? ADD: кста, у дем есть такой косяк - они не сохраняют и не загружают проект, а версия 1.1.1.1 походу в розыске. ![]() |
|
Создано: 22 февраля 2009 23:10 · Личное сообщение · #8 |
|
Создано: 23 февраля 2009 01:30 · Личное сообщение · #9 Valemox пишет: А экскурс на эту тему будет небольшой? Чуть попозже. Сначало разберусь до конца с протом. Вот я например никак не пойму как работает: 1- Виртуализация кода. Как там вызываются Call понятно, например так: Code:
Вот таким макаром переходим на нужный нам адрес. А вот какие аргументы и как берутся чё-то не пойму. 2- Обфускация. Чё это такое? Если есть у кого прога накрытая с этой опцией прошу скинуть. ![]() После того, как разберусь, попытаюсь тутор по сабжа написать. Valemox пишет: кста, у дем есть такой косяк - они не сохраняют и не загружают проект, а версия 1.1.1.1 походу в розыске. Это не косяк ![]() ![]() |
|
Создано: 26 февраля 2009 23:16 · Поправил: Valemox · Личное сообщение · #10 |
|
Создано: 26 февраля 2009 23:59 · Поправил: Djeck · Личное сообщение · #11 Valemox пишет: Судя по размеру запроченных файлов, эта версия, походу, поменьше мусора оставляет в кодесе. Иль на то, может, какие другие причины есть? Честно не обращал внимание, вроде всё по старому ![]() Code:
Хз, но я бы не сказал, что мусора меньше ![]() ![]() ![]() |
|
Создано: 27 февраля 2009 11:14 · Личное сообщение · #12 |
|
Создано: 27 февраля 2009 12:38 · Личное сообщение · #13 |
|
Создано: 27 февраля 2009 12:45 · Личное сообщение · #14 DarkWolf пишет: А есть-ли какой нибудь нормальный способ определить какая именно версия Обсида навешана? Да-да, очень-очень интересует можно ли как-то определить точную версию, пожалуста раскажи, если это секрет, тогда отпишись в ПМ я обясню для чего это нужно ![]() ----- Лучше быть одиноким, но свободным © $me ![]() |
|
Создано: 27 февраля 2009 12:58 · Личное сообщение · #15 |
|
Создано: 27 февраля 2009 14:54 · Личное сообщение · #16 |
|
Создано: 27 февраля 2009 15:23 · Поправил: Valemox · Личное сообщение · #17 |
|
Создано: 28 февраля 2009 17:31 · Личное сообщение · #18 |
|
Создано: 28 февраля 2009 18:16 · Поправил: Valemox · Личное сообщение · #19 |
|
Создано: 28 февраля 2009 19:14 · Поправил: Djeck · Личное сообщение · #20 Valemox пишет: дык ReRelease для всех остальных версий тоже потом сделаешь и выложишь? Иль не факт? ЗЫ. Да и доку по восстановлению криптованных участков, было бы неплохо, тож "курнуть". Да нет наверное для других делать не буду. Я же без ключа восстанавливать не могу, просто код для этой версии рипал из версии 1.3.0.4, скажу честно занятие не из самых приятных ![]() По поводу доков: да про обсид скажем так не густо материала. Всё что я нашёл это статьи хагара про антиатладку и про иат. Мне лично они вообще не понравились, как-то не очень всё понятно. Про крипт там вообще ни слова. Есть ещё один док про первую версию обсида, но там вообще ничего не понятно, какие-то лишние телодвижения автор делает. Так, что в будущем наверное накалякою пару строк про этот протектор ![]() ![]() |
|
Создано: 28 февраля 2009 21:42 · Поправил: Valemox · Личное сообщение · #21 |
|
Создано: 01 марта 2009 01:17 · Личное сообщение · #22 |
|
Создано: 01 марта 2009 01:38 · Личное сообщение · #23 |
|
Создано: 01 марта 2009 03:49 · Поправил: daFix · Личное сообщение · #24 Блин, не заметил одной мелочи - там на той проге ещё и обе библиотеки обисидом накрыты ![]() К примеру Decoder.dll - OEP = 100CEC20, библиотека написана на Microsoft Visual C++ 8.0 DLL Method2. Импорт в ней пока не добил. Мож кто знает что прот делает с библиотеками? PS: С импортом в библиотеках та-же вздрочка - Code:
----- Research For Food ![]() |
|
Создано: 01 марта 2009 09:44 · Личное сообщение · #25 |
|
Создано: 03 марта 2009 10:43 · Личное сообщение · #26 daFix пишет: И вот ещё вопрос - обисид начал стирать железные бряки? Вот прога, которую дал DarkWolf, снимает железяки. Или это фантомка шалит? Да походу обсид шалит, я тоже замечал. Так как до обработчика исключений железяки работают, а после перестают ![]() daFix пишет: С импортом в библиотеках та-же вздрочка - Новенький обсид ![]() Проверки test eax, 4 и test eax, 80 есть не что иное как опция протектора Динамический доступ к API защиты или как в оригинале Dynamic protection API access. У кого попадётся не завидую ![]() Archer пишет: Не совсем уверен, зачем нужен только импорт, благо практически во всех протах его можно полностью в автоматическом режиме получить, ну да ладно. В любом случае аттачил бы ты лучше импорт как дерево или txt, а не вываливал в постах, аж страшно стало. Да импорт так для примера кто не знает. Попозже другие опции защиты покажу. А насчёт что в постах страшно смотриться ![]() ![]() |
|
Создано: 03 марта 2009 10:49 · Личное сообщение · #27 Кому интересно, таблица импорта в Obsidium 1.3.6.0 ![]() ![]() |
|
Создано: 03 марта 2009 14:25 · Поправил: Djeck · Личное сообщение · #28 Посмотрел я насчёт железных бряков. Это стопудова проделки шаловливых опкодов обсидиума. Причём делает он это весьма интересно. Такой командой: IDIV ECX вызывает исключение, затем в обработчике убирает наш бряк. Но...затем зачем-то такой командой UD2 опять вызывает обработчик и ставит наш бряк обратно ![]() Итак несколько раз, так что не всегда заметишь в дебаг регистрах, что бряка нет. Типа без палева. Теперь о хорошем. Фантом с опцией protection DRx и обсидиум нервно курит в сторонке, а мы пользуемся железяками. Фантом меняет: 7C90E460 8B1C24 MOV EBX,DWORD PTR SS:[ESP] 7C90E463 51 PUSH ECX 7C90E464 53 PUSH EBX 7C90E465 E8 E6C40100 CALL 7C92A950 7C90E46A 0AC0 OR AL,AL 7C90E46C 74 0C JE SHORT 7C90E47A 7C90E46E 5B POP EBX 7C90E46F 59 POP ECX 7C90E470 6A 00 PUSH 0 7C90E472 51 PUSH ECX 7C90E473 E8 C8EBFFFF CALL ZwContinue 7C90E478 EB 0B JMP SHORT 7C90E485 на 7C90E460 8B1C24 MOV EBX,DWORD PTR SS:[ESP] 7C90E463 51 PUSH ECX 7C90E464 53 PUSH EBX 7C90E465 - E9 D21B8383 JMP 0014003C <-------------------заменили 7C90E46A 0AC0 OR AL,AL 7C90E46C 74 0C JE SHORT 7C90E47A 7C90E46E 5B POP EBX 7C90E46F 59 POP ECX 7C90E470 6A 00 PUSH 0 7C90E472 51 PUSH ECX 7C90E473 E8 C8EBFFFF CALL ZwContinue 7C90E478 EB 0B JMP SHORT 7C90E485 Молодцы ребята ![]() ![]() |
|
Создано: 03 марта 2009 14:31 · Личное сообщение · #29 |
|
Создано: 03 марта 2009 15:45 · Личное сообщение · #30 |
. 1 . 2 . 3 . 4 . >> |
![]() |
eXeL@B —› Дневники и блоги —› Djeck Blog |