Сейчас на форуме: (+3 невидимых) |
![]() |
eXeL@B —› Дневники и блоги —› Djeck Blog |
<< . 1 . 2 . 3 . 4 . >> |
Посл.ответ | Сообщение |
|
Создано: 20 февраля 2009 23:41 · Поправил: Djeck · Личное сообщение · #1 Привет всем ![]() 1- Вопросы о работе того или иного протектора 2- Собственно ответы на них людей, которые желают помочь 3- Обсуждение какого либо бага в распакованном мною варианте Что не приветствуется: 1- Высказывания типа того, что нахрена релизить проты 2- Просьбы о распаковке того или иного протектора 3- Просьбы поделиться скриптами 4- Вопросы, о том что в моей коллекции есть и просьбы дать это. Как то вот так ![]() P.S. Сразу объясню, что причины по которым я распаковываю прот это: 1) нет ключа (убрать ограничения), 2) запакованный не работает на моей системе, 3) просто интересно P.S> Мы тут подумали и я решил, что релизить взломанные проты не есть гуд. Всё таки потом сам же буду с ними мучаться. ![]() ![]() ![]() ![]() |
|
Создано: 04 марта 2009 20:00 · Поправил: Djeck · Личное сообщение · #2 Чё-то на работе запарки начались, времени очень мало ![]() В последнее время, чё-то поднадоел Obsidium 1.3.X.X, всё как-то одинаково и принципиальных отличий вообще нет. Поэтому начал ковырять Code Virtualization протектора в версии 1.4.0.0, последнюю вещь, которую с наскока осилить не получилось. Но немного покопался...и разобрался ![]() ![]() Теперь о главном: Для тех кому интересно я наваял простенький анпакми с минимальными опциями и простенькими командами (для разбора, в реальных прогах, чуть тяжелее). В опциях включена ВМ: Начало ориг.байт: 0044EC99 Конец: 0044ECBB Код: Code:
В архиве файлы: 1- Obsidium 1.4 (Original).exe // ориг.файл с помеченными маркерами 2- Obsidium 1.4 (VM).exe // запакованный в протекторе оригинальный файл 3- Dumped+IATFix.exe // распакованный, но не восстановлена ВМ 4- IAT (ImpRec Tree).txt // дерево импорта импрека 5- OEP+IAT.txt // значения ОЕП, начало/конец IAT, размер 6- Obsidium with VM.opf // проект Obsidium'а 7- Options.txt // лог защиты протектора 8- VM.txt // оригинальные команды rapidshare.com/files/205266770/Code_Virtualization.rar.html webfile.ru/3001871 www.filefactory.com/file/af325ab/n/Code_Virtualization_rar ...ну и исходник на делфях в аттаче ![]() Ну я думаю, в принципе версию 1.4.0.X можно ломать. Только, что версия есть у меня сразу требует ключ. Остаётся либо ждать паблик релиз, где триал можно заюзать, либо кому-то надо втихоря поделиться ключом ![]() ![]() ![]() |
|
Создано: 05 марта 2009 06:43 · Личное сообщение · #3 |
|
Создано: 05 марта 2009 06:57 · Личное сообщение · #4 |
|
Создано: 05 марта 2009 07:00 · Личное сообщение · #5 |
|
Создано: 05 марта 2009 07:04 · Личное сообщение · #6 Spirit пишет: именно об этом. хотелось бы узнать возможность восстановления криптокода без валидной пары, т.к. внекрилов говорил, что в аспре это возможно и даже обещал статью. Признаюсь честно боюсь, что на это у меня мозгов не хватит ![]() ![]() |
|
Создано: 05 марта 2009 16:05 · Личное сообщение · #7 |
|
Создано: 07 марта 2009 14:26 · Поправил: Valemox · Личное сообщение · #8 |
|
Создано: 08 марта 2009 01:49 · Поправил: Valemox · Личное сообщение · #9 |
|
Создано: 08 марта 2009 19:50 · Поправил: Bronco · Личное сообщение · #10 Там начиная с антидебага жесть. //Bulk Image Downloader До того что осталось от стаба, под Олькой можно пройти: Code:
Ниже, часть кода завиртуалена, ну а само начало мона с импровизировать: PUSH EBP MOV EBP,ESP MOV ECX,0E 1: PUSH 0 PUSH 0 DEC ECX JNZ 1 PUSH ECX PUSH EBX PUSH ESI PUSH EDI MOV EAX,0063CAE0 ======= ----- Чтобы юзер в нэте не делал,его всё равно жалко.. ![]() |
|
Создано: 08 марта 2009 19:54 · Личное сообщение · #11 |
|
Создано: 09 марта 2009 01:55 · Поправил: Bronco · Личное сообщение · #12 progopis пишет: Я кстати распаковывал а после унпака такое попадалось там по коду ![]() Code:
Мля... табличку снять, ....как два пальца ![]() ну сами знаете что мона сделать... ![]() //хотя возможно что функа неправильно определилась. ![]() ----- Чтобы юзер в нэте не делал,его всё равно жалко.. ![]() |
|
Создано: 10 марта 2009 12:07 · Личное сообщение · #13 |
|
Создано: 10 марта 2009 12:16 · Поправил: Djeck · Личное сообщение · #14 Bronco пишет: До того что осталось от стаба, под Олькой можно пройти Ну это понятное дело, что можно. Я так и не понял тебя вообще не палят? ![]() Bronco пишет: Ниже, часть кода завиртуалена Теперь понятно почему некоторые настаивали именно на этой версии progopis пишет: Я кстати распаковывал Bulk Image Downloader. Только трабл был - прога вроде нормально работала в среднем. Но вот иногда падала. pavka инлайн делал. Я инлайнить обсид пока не умею. Ты конечно не обижайся, ничего личного, но я никак не пойму смысл данного поста... ![]() ![]() ![]() |
|
Создано: 10 марта 2009 12:28 · Личное сообщение · #15 В данный момент, работа по изучению протектора Obsidium идёт полным ходом. Практически полностью разобрана таблица импорта и способы её правки. Я написал скрипт, который восставливает импорт включая программы запакованные с опцией динамической защиты. Но к сожалению данный скрипт помоему содержит много лишних команд (так сказать много мусорного кода) в связи с тем, что мне не хватает нужных команд. Приходится делать ход конём. Как говорится теже яйца только вид сбоку. Я полазил по форуму и нашёл несколько команд OllyScript, которые не описаны в офф. справке. Если люди на форуме, которые хорошо знают скриптовый язык олли и могут дать разъяснения по некоторым командам желательно с примерами? Также для теста скрипта требуются программы запакованные этим протектором. В данный момент желательно на делфи или C++ builder. ![]() |
|
Создано: 10 марта 2009 13:11 · Личное сообщение · #16 Вот справка в pdf формате на английском по олли скрипт про команды (для себя делал) ![]() ![]() ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. ![]() |
|
Создано: 10 марта 2009 13:20 · Личное сообщение · #17 |
|
Создано: 10 марта 2009 13:25 · Личное сообщение · #18 |
|
Создано: 10 марта 2009 14:38 · Поправил: Nightshade · Личное сообщение · #19 |
|
Создано: 10 марта 2009 14:42 · Личное сообщение · #20 Djeck пишет: а прога запротеченная по максимуму Ну ты же вроде как "растёшь/крепчаешь", вот и требования растут. ![]() Дополнительные опции, это только разница во времени унпака, и шОб моск не застаивалсИ.. ![]() Разве не так???? ========= Djeck пишет: как в олли скрипт сделать трейс с условием, когда встречается например команда popad Хз о чём ты, но вроде бы так: cmp eip,61,1 je bla-bla ----- Чтобы юзер в нэте не делал,его всё равно жалко.. ![]() |
|
Создано: 10 марта 2009 14:47 · Личное сообщение · #21 |
|
Создано: 10 марта 2009 15:00 · Поправил: Djeck · Личное сообщение · #22 Nightshade пишет: ticnd "[eip] == #61#" да так тоже пробовал, но чёт не тормозиться олли ![]() Nightshade пишет: trace: sto mov temp, [eip], 1 cmp temp, #61# jne trace Bronco пишет: cmp eip,61,1 je bla-bla Да чуваки именно так и делал, но не знаю почему-то не нравиться мне так. Лишние телодвижения ![]() Bronco пишет: Ну ты же вроде как "растёшь/крепчаешь", вот и требования растут. Дополнительные опции, это только разница во времени унпака, и шОб моск не застаивалсИ.. Разве не так???? Полностью согласен с тобой ![]() ![]() Bronco пишет: Djeck пишет: тебя вообще не палят? Хе...это просто хорошо забытые старые трюки юзаютЦо, обойти элементарно Если не секрет, чё это за херь? Ну кроме стандарта типа CheckRemoteDebuggerPresent, UnhandledExceptionFilter, FindWindowA и IsDebuggerPresent. Я особо то если честно и не копал, но последняя вызывается CheckRemoteDebuggerPresent. Сколько прог смотрел, чё-то одна не хочит робить никак ![]() ![]() |
|
Создано: 10 марта 2009 16:20 · Личное сообщение · #23 Djeck пишет: Если не секрет, чё это за херь? Такую херь, навскидку по памяти юзал в своё время аспирин, телок, и по моему пеармор ![]() Если поможет: Code:
Что повырубать в фантоме и в Олюшке думаю ссобразишь. ![]() Djeck пишет: Лишние телодвижения Ну от чего же лишние, если трейсом, то по другому никах: cmp eip, #B80501280A#, 5 je GetVersion cmp eip, #B8FFFFFFFF#, 5 je GetCurrentProcess и т.д.. Djeck пишет: Настораживает однако.... А ты не тревожсЯ по пустякам, подвязался/застегнуло - значит унпачь... ![]() ----- Чтобы юзер в нэте не делал,его всё равно жалко.. ![]() |
|
Создано: 11 марта 2009 15:22 · Поправил: Djeck · Личное сообщение · #24 Появилось два вопроса по OllyScipt: 1- Есть ли в олли команда для работы с потоками. Когда включен антидебаг обсидиум создаёт два потока, которые очень мешают отладке программы. Вручную-то их отключить проблем не составляет, а вот скриптом это как-то реализовать возможно? 2- Команда Setoption. Эта команда просто тупу выводит окно с настройками и всё? Есть какая-нибудь возможность, чтобы не заставлять юзера постоянно снимать/ставить галки в опциях? ![]() ![]() |
|
Создано: 12 марта 2009 13:16 · Личное сообщение · #25 |
|
Создано: 12 марта 2009 13:27 · Личное сообщение · #26 |
|
Создано: 12 марта 2009 13:34 · Личное сообщение · #27 |
|
Создано: 12 марта 2009 14:10 · Личное сообщение · #28 Djeck ты всеравно потихоньку ковыряешь обсид , да и версий у тебя много. Вместо чем впустую копать обсид , копай обсид но и пиши паралельно унпакер на него. Хорошая практика , это раз , и второе если делать универсальный двиг , то можно будет и другие вещи анпакать которые с энджинами идут. Подумай над этим. Например я когда делаю что то важное всегда пишу код , и как правило каждый требуется потом. Завтра ты загуляешь =) и все ..знания ослабеют и после себя ничего не оставил , даже для себя. И будет у тебя блог по написанию анпакера обсида всех версий. ![]() ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube ![]() |
|
Создано: 12 марта 2009 14:20 · Личное сообщение · #29 |
|
Создано: 12 марта 2009 14:40 · Личное сообщение · #30 |
|
Создано: 12 марта 2009 16:40 · Личное сообщение · #31 |
<< . 1 . 2 . 3 . 4 . >> |
![]() |
eXeL@B —› Дневники и блоги —› Djeck Blog |