Привет всем Появилось немного свободного времени и я тоже решил создать свой блог. Пока я до конца не определился что здесь будет, но учитывая что последней моей страстью являются протекторы, то здесь они собственно и будут. Дело в том, что я обладаю довольно внушительной коллекцией упаковщиков и протекторов, но как правило довольно много у меня незарегестрированных штук. Вот потихоньку изучая каждый протектор я их и регистрирую. В данный момент я увлёкся протектором Obsidium, поэтому с него и начнём. Что приветствуется в моём блоге:
1- Вопросы о работе того или иного протектора
2- Собственно ответы на них людей, которые желают помочь
3- Обсуждение какого либо бага в распакованном мною варианте
Что не приветствуется:
1- Высказывания типа того, что нахрена релизить проты
2- Просьбы о распаковке того или иного протектора
3- Просьбы поделиться скриптами
4- Вопросы, о том что в моей коллекции есть и просьбы дать это.
Как то вот так
P.S. Сразу объясню, что причины по которым я распаковываю прот это: 1) нет ключа (убрать ограничения), 2) запакованный не работает на моей системе, 3) просто интересно

P.S> Мы тут подумали и я решил, что релизить взломанные проты не есть гуд. Всё таки потом сам же буду с ними мучаться. Поэтому я пришёл к выводу, что проты-то мы релизить будем, но под паролем. Все кто что-то качает из моего блога за паролем в личку. Получать пароли будут проверенные люди, соответственно залётные в пролёте Пароль на все архивы будет один, так что если я его один раз дал, то на остальные архивы пароль просить уже не надо будет

| Сообщение посчитали полезным:

Чё-то на работе запарки начались, времени очень мало

В последнее время, чё-то поднадоел Obsidium 1.3.X.X, всё как-то одинаково и принципиальных отличий вообще нет. Поэтому начал ковырять Code Virtualization протектора в версии 1.4.0.0, последнюю вещь, которую с наскока осилить не получилось. Но немного покопался...и разобрался. Первые впечатления: слабенько и слишком всё просто (я имею ввиду применительно к ВМ). Но учитывая, что это первая версия с ВМ, то в будущем наверное гемороя прибавиться. Отчего-то мне кажется, что разрабы будут её развивать с большим усердством.
Теперь о главном:
Для тех кому интересно я наваял простенький анпакми с минимальными опциями и простенькими командами (для разбора, в реальных прогах, чуть тяжелее). В опциях включена ВМ:

Начало ориг.байт: 0044EC99
Конец: 0044ECBB

Код:



В архиве файлы:
1- Obsidium 1.4 (Original).exe // ориг.файл с помеченными маркерами
2- Obsidium 1.4 (VM).exe // запакованный в протекторе оригинальный файл
3- Dumped+IATFix.exe // распакованный, но не восстановлена ВМ
4- IAT (ImpRec Tree).txt // дерево импорта импрека
5- OEP+IAT.txt // значения ОЕП, начало/конец IAT, размер
6- Obsidium with VM.opf // проект Obsidium'а
7- Options.txt // лог защиты протектора
8- VM.txt // оригинальные команды

rapidshare.com/files/205266770/Code_Virtualization.rar.html
webfile.ru/3001871
www.filefactory.com/file/af325ab/n/Code_Virtualization_rar

...ну и исходник на делфях в аттаче

Ну я думаю, в принципе версию 1.4.0.X можно ломать. Только, что версия есть у меня сразу требует ключ. Остаётся либо ждать паблик релиз, где триал можно заюзать, либо кому-то надо втихоря поделиться ключомЕстественно ключ на паблик не уйдёт.

1fe2_04.03.2009_CRACKLAB.rU.tgz - Source.rar

| Сообщение посчитали полезным:

Djeck
Ты бы сначала добил криптокод в версиях<1.4, а потом уже на новый покушался.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
Ты бы сначала добил криптокод в версиях<1.4, а потом уже на новый покушался.
Ты их собираешь? Или я тебя не так понял? Ты имеешь ввиду добить сами проты до версии 1.4, или же ты говоришь именно о криптованных участках в протекторе. Сорри просто правда не понял, что ты имел ввиду

| Сообщение посчитали полезным:

Djeck пишет:
говоришь именно о криптованных участках в протекторе.
именно об этом. хотелось бы узнать возможность восстановления криптокода без валидной пары, т.к. внекрилов говорил, что в аспре это возможно и даже обещал статью.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
именно об этом. хотелось бы узнать возможность восстановления криптокода без валидной пары, т.к. внекрилов говорил, что в аспре это возможно и даже обещал статью.
Признаюсь честно боюсь, что на это у меня мозгов не хватит Поэтому, то я особо и не смотрел. Но надо глянуть, просто руки об вм чешутся

| Сообщение посчитали полезным:

Как-то не могу понять что за прикол с замером времени в новом обисидуме
Ни кто не встречал?

-----
Research For Food

| Сообщение посчитали полезным:

Вот прога, которая накрыта, походу, новым обсидом. Просьба к Джеку распакать ее.
тут залито (ссыль уже удалена)
Ключа нет, сразу скажу.

| Сообщение посчитали полезным:

Покуда Djeck в бане, то по его просьбе, выкладываю распаканый им вариант к проге из #8 _hттp://rapidshare.com/files/206613155/U_AMBooks.rar мож кому и сгодитцо.

| Сообщение посчитали полезным:

Там начиная с антидебага жесть.
//Bulk Image Downloader
До того что осталось от стаба, под Олькой можно пройти:

Ниже, часть кода завиртуалена, ну а само начало мона с импровизировать:
PUSH EBP
MOV EBP,ESP
MOV ECX,0E
1:
PUSH 0
PUSH 0
DEC ECX
JNZ 1
PUSH ECX
PUSH EBX
PUSH ESI
PUSH EDI
MOV EAX,0063CAE0
=======

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Я кстати распаковывал Bulk Image Downloader. Только трабл был - прога вроде нормально работала в среднем. Но вот иногда падала. pavka инлайн делал. Я инлайнить обсид пока не умею.

| Сообщение посчитали полезным:

progopis пишет:
Я кстати распаковывал
а после унпака такое попадалось там по коду ????

Мля... табличку снять, ....как два пальца
ну сами знаете что мона сделать...
//хотя возможно что функа неправильно определилась.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Пока сидел в бане, немного привёл блог в порядок.
Выложил Obsidium 1.3.6.3, смотреть в шапке (пост №2). Кому нужна лицензия на своё имя к этой версии спрашивать в личке

| Сообщение посчитали полезным:

Bronco пишет:
До того что осталось от стаба, под Олькой можно пройти
Ну это понятное дело, что можно. Я так и не понял тебя вообще не палят?
Bronco пишет:
Ниже, часть кода завиртуалена
Теперь понятно почему некоторые настаивали именно на этой версии

progopis пишет:
Я кстати распаковывал Bulk Image Downloader. Только трабл был - прога вроде нормально работала в среднем. Но вот иногда падала. pavka инлайн делал. Я инлайнить обсид пока не умею.
Ты конечно не обижайся, ничего личного, но я никак не пойму смысл данного поста... Ну распаковывал ты эту программу, ну молодец, ну инлайнил кто-то её, а ты не умеешь, ну ничё научишься В чём смысл? Ты анпачил последнюю версию с вм, ну так поделись чем-нить интересным... Если без я не пойму, почему у тебя прога падала, т.к. впринципе распаковать эту программу без вм вообще никакого труда не составляет.

| Сообщение посчитали полезным:

В данный момент, работа по изучению протектора Obsidium идёт полным ходом. Практически полностью разобрана таблица импорта и способы её правки. Я написал скрипт, который восставливает импорт включая программы запакованные с опцией динамической защиты. Но к сожалению данный скрипт помоему содержит много лишних команд (так сказать много мусорного кода) в связи с тем, что мне не хватает нужных команд. Приходится делать ход конём. Как говорится теже яйца только вид сбоку. Я полазил по форуму и нашёл несколько команд OllyScript, которые не описаны в офф. справке. Если люди на форуме, которые хорошо знают скриптовый язык олли и могут дать разъяснения по некоторым командам желательно с примерами?
Также для теста скрипта требуются программы запакованные этим протектором. В данный момент желательно на делфи или C++ builder.

| Сообщение посчитали полезным:

Вот справка в pdf формате на английском по олли скрипт про команды (для себя делал)


5e7d_10.03.2009_CRACKLAB.rU.tgz - Info.pdf

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

А какие у тебя вопросы по командам?
Или что надо реализовать скриптом?

| Сообщение посчитали полезным:

ClockMan
спасибо, отличная вещицамногие вопросы отпали. Только вот не пойму, как в олли скрипт сделать трейс с условием, когда встречается например команда popad? Кто-нить делал?

| Сообщение посчитали полезным:

ticnd "[eip] == #61#"
разве нельзя написать что то подобное?
(синтаксис может малек другой - можно посмотреть в справке по olly)
либо писать что-то типа
trace:
sto
mov temp, [eip], 1
cmp temp, #61#
jne trace

| Сообщение посчитали полезным:

Djeck пишет:
а прога запротеченная по максимуму
Ну ты же вроде как "растёшь/крепчаешь", вот и требования растут.
Дополнительные опции, это только разница во времени унпака, и шОб моск не застаивалсИ..
Разве не так????
=========

Djeck пишет:
как в олли скрипт сделать трейс с условием, когда встречается например команда popad
Хз о чём ты, но вроде бы так:
cmp eip,61,1
je bla-bla

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

ClockMan пишет:
Вот справка в pdf формате
Удобно, лучше чем в ридми скролить.
Сделай лучше закладки по алфавиту, так будет ЕЩЁ удобней...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Nightshade пишет:
ticnd "[eip] == #61#"
да так тоже пробовал, но чёт не тормозиться олли

Nightshade пишет:
trace:
sto
mov temp, [eip], 1
cmp temp, #61#
jne trace

Bronco пишет:
cmp eip,61,1
je bla-bla

Да чуваки именно так и делал, но не знаю почему-то не нравиться мне так. Лишние телодвижения

Bronco пишет:
Ну ты же вроде как "растёшь/крепчаешь", вот и требования растут.
Дополнительные опции, это только разница во времени унпака, и шОб моск не застаивалсИ..
Разве не так????
Полностью согласен с тобой Конечно если уж я взялся победить прот до конца, то с вм придётся совладать. Просто мне странным показалось, сначало сранный анпакми, который можно за 5 минут анпакнуть, а потом прога с вм Настораживает однако....

Bronco пишет:
Djeck пишет:
тебя вообще не палят?
Хе...это просто хорошо забытые старые трюки юзаютЦо, обойти элементарно
Если не секрет, чё это за херь? Ну кроме стандарта типа CheckRemoteDebuggerPresent, UnhandledExceptionFilter, FindWindowA и IsDebuggerPresent. Я особо то если честно и не копал, но последняя вызывается CheckRemoteDebuggerPresent. Сколько прог смотрел, чё-то одна не хочит робить никак Наверное версия прям вот, вот....

| Сообщение посчитали полезным:

Djeck пишет:
Если не секрет, чё это за херь?
Такую херь, навскидку по памяти юзал в своё время аспирин, телок, и по моему пеармор
Если поможет:

Что повырубать в фантоме и в Олюшке думаю ссобразишь.
Djeck пишет:
Лишние телодвижения
Ну от чего же лишние, если трейсом, то по другому никах:
cmp eip, #B80501280A#, 5
je GetVersion
cmp eip, #B8FFFFFFFF#, 5
je GetCurrentProcess
и т.д..

Djeck пишет:
Настораживает однако....
А ты не тревожсЯ по пустякам, подвязался/застегнуло - значит унпачь...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Появилось два вопроса по OllyScipt:
1- Есть ли в олли команда для работы с потоками. Когда включен антидебаг обсидиум создаёт два потока, которые очень мешают отладке программы. Вручную-то их отключить проблем не составляет, а вот скриптом это как-то реализовать возможно?
2- Команда Setoption. Эта команда просто тупу выводит окно с настройками и всё? Есть какая-нибудь возможность, чтобы не заставлять юзера постоянно снимать/ставить галки в опциях?

| Сообщение посчитали полезным:

И ещё хотел спросить: какая на сегодня последняя версия Olly Debugger Script Editor от Guru.exe?

| Сообщение посчитали полезным:

у меня 1.2, и кажется новее нет

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

У меня тоже она, но там половины команд нету, а вбивать в неё новые это сущий кошмар

| Сообщение посчитали полезным:

Djeck ты всеравно потихоньку ковыряешь обсид , да и версий у тебя много. Вместо чем впустую копать обсид , копай обсид но и пиши паралельно унпакер на него. Хорошая практика , это раз , и второе если делать универсальный двиг , то можно будет и другие вещи анпакать которые с энджинами идут. Подумай над этим.

Например я когда делаю что то важное всегда пишу код , и как правило каждый требуется потом. Завтра ты загуляешь =) и все ..знания ослабеют и после себя ничего не оставил , даже для себя. И будет у тебя блог по написанию анпакера обсида всех версий.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak, ты думаешь что он до такого не додумался сам
просто я уже слышал слух что в планах у него есть такое , просто там нужно еще с чемто разобратся

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

BoRoV с чем еще разбираться ? ...нужно паралельно это все делать. С криптоучастками разбираться вроде , дык это самое веселое при написании анпака. Потом после разбираний нет желания писать.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak
Всё ок, не гони паровоз
Опять я со своими скриптами
Как правильно использовать эту команду GPI key? Мне нужно получить имя процесса

| Сообщение посчитали полезным: