| Сейчас на форуме: (+3 невидимых) |
 |
eXeL@B —› Дневники и блоги —› Djeck Blog |
| << . 1 . 2 . 3 . 4 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 20 февраля 2009 23:41 · Поправил: Djeck · Личное сообщение · #1 Привет всем  Появилось немного свободного времени и я тоже решил создать свой блог. Пока я до конца не определился что здесь будет, но учитывая что последней моей страстью являются протекторы, то здесь они собственно и будут. Дело в том, что я обладаю довольно внушительной коллекцией упаковщиков и протекторов, но как правило довольно много у меня незарегестрированных штук. Вот потихоньку изучая каждый протектор я их и регистрирую. В данный момент я увлёкся протектором Obsidium, поэтому с него и начнём. Что приветствуется в моём блоге:
1- Вопросы о работе того или иного протектора 2- Собственно ответы на них людей, которые желают помочь 3- Обсуждение какого либо бага в распакованном мною варианте Что не приветствуется: 1- Высказывания типа того, что нахрена релизить проты 2- Просьбы о распаковке того или иного протектора 3- Просьбы поделиться скриптами 4- Вопросы, о том что в моей коллекции есть и просьбы дать это. Как то вот так 
P.S. Сразу объясню, что причины по которым я распаковываю прот это: 1) нет ключа (убрать ограничения), 2) запакованный не работает на моей системе, 3) просто интересно P.S> Мы тут подумали и я решил, что релизить взломанные проты не есть гуд. Всё таки потом сам же буду с ними мучаться. Поэтому я пришёл к выводу, что проты-то мы релизить будем, но под паролем. Все кто что-то качает из моего блога за паролем в личку. Получать пароли будут проверенные люди, соответственно залётные в пролёте Пароль на все архивы будет один, так что если я его один раз дал, то на остальные архивы пароль просить уже не надо будет
 |
|
|
Создано: 12 марта 2009 16:58 · Личное сообщение · #2 GPI key ------- Gets process information, one of : HPROCESS,PROCESSID,HMAINTHREAD,MAINTHREADID,MAINBASE,PROCESSNAME,EXEFI LENAME,CURRENTDIR,SYSTEMDIR ----- EnJoy! |
|
|
Создано: 12 марта 2009 17:15 · Личное сообщение · #3 Jupiter Да я читал это. Я так понимаю у меня должно быть по типу: GPI PROCESSNAME Если так, то скрипт ошибку выдаёт. 
|
|
|
Создано: 12 марта 2009 17:48 · Личное сообщение · #4 Djeck, попробуй EXEFILENAME, это по сути одно и тоже. Я когда пытался писать плаг, в переменной PROCESSNAME всегда были одни нули, поэтому пришлось брать EXEFILENAME, возможно ошибка в скрипте по той же причине. |
|
|
Создано: 13 марта 2009 00:45 · Личное сообщение · #5 ну я уже понял. Паровозы живут в горячей гонке , а в ползках умирают.
----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 13 марта 2009 15:37 · Личное сообщение · #6 Djeck пишет: из-за некоторых товарищей теперь я должен тщательно следить за тем, что я пишу или говорю во, такой навык очень полезен, помогает сохранять табло чистым и шелковистым 
|
|
|
Создано: 13 марта 2009 16:31 · Личное сообщение · #7 Gideon Vi пишет: во, такой навык очень полезен, помогает сохранять табло чистым и шелковистым С одной стороны согласен, с другой получается такая интересная ситуация, что некоторые вещи я понимаю правильно, но сомневаюсь, что я понимаю правильно и естественно о них писать не буду. Возможно пользователи не получат нужный материал. Да и вообще, когда я читаю статью, то я не смотрю на ошибки: ну написал чел, я попробовал, не получилось, ну и хрен с ним Начинаю искать альтернативные способы. Мне кажется статьи пишут не для того, чтобы от а до я всё повторить. Я их читаю только, тогда когда мне не понятна какая-то опция протектора и я не знаю, что с ней делать.
|
|
|
Создано: 14 марта 2009 02:50 · Личное сообщение · #8 Djeck пишет: До релиза унпуцкера, как мне до одессы а как далеко ты от нее живешь? может ты рядом или же в ней самой и живешь , тогда значит что анпакер делается 
----- Лучше быть одиноким, но свободным © $me |
|
|
Создано: 14 марта 2009 14:40 · Поправил: Djeck · Личное сообщение · #9 Сегодня скачал интересную программу под последним обсидом. Опять не получается обойти антиотладку Делаем вывод, что в последних версиях обсидиума появилась новая антиотладка Симптомы теже, что и в BulkImageDownloader. Если бы кто помог понять как прот нас обнаруживает, был бы премного благодарен
|
|
|
Создано: 14 марта 2009 15:44 · Личное сообщение · #10 На каких прогах есть новая антиотладка? (Желательно маленького размера) |
|
|
Создано: 14 марта 2009 15:46 · Личное сообщение · #11 Nightshade Скинул в личку
|
|
|
Создано: 14 марта 2009 23:46 · Поправил: daFix · Личное сообщение · #12 Bronco Спасибо за наводку! Да не надо горячиться, вряд-ли он в этом контексте произнёс эту фразу Добавлено: Скоро у Арчера будет аццкий ранг
----- Research For Food |
|
|
Создано: 15 марта 2009 13:06 · Поправил: Djeck · Личное сообщение · #13 Да, разобрался я с этой антиотладкой. Всё дело, как я и думал было всего лишь в CheckRemoteDebugger. Дело в том, что плагин OllyAdvanced подменяет начало данной апи функции и новые обсиды это проверяют, в старых версиях протектора такой проверки не было. Я сначало не сразу понял, но посмотрев обнаружил, что обсидиум проверяет начало кода этой апи. Так что если кто не может запустить прогу под отладчиком, это одна из причин
Теперь по программе. Распаковывал я Hide Photos 1.4. Опции: антиотладка, спёртые байты, крипт без ключа и по ключу, SDK API обсидиума.Начнём: Сама прога+анпак: --> Скачать <-- http://multi-up.com/68282 Только анпак: --> Скачать <-- http://multi-up.com/68285 Спёртое ОЕП выглядит так: Code:
Это спёртые байты: Code:
Расположение иат: OEP: 0066a368 (0026a368) IAT Start: 006B8268 IAT End: 006B8D40 IAT Size: AD8 Эмулированные апи: Code:
Первая строка, что за апи, последующие как функция выглядит в протекторе[/b] [b]Ну и SDK API: Code:
Эмулируются таким образом: Code:
|
|
|
Создано: 15 марта 2009 13:10 · Личное сообщение · #14 Djeck пишет: Дело в том, что плагин OllyAdvanced подменяет начало данной апи функции и новые обсиды это проверяют дык, давно говорили, что хайдящие фишки в адванседе не айс, да и в абсолютно не включенном состоянии он что-то меняет |
|
|
Создано: 15 марта 2009 13:18 · Личное сообщение · #15 Gideon Vi пишет: дык, давно говорили, что хайдящие фишки в адванседе не айс, да и в абсолютно не включенном состоянии он что-то меняет К сожалению я данного обсуждния не видел, поэтому и не знал . Да и не мог подумать, что это он. Ведь на старых обсидах работало, а здесь засада
|
|
|
Создано: 15 марта 2009 13:32 · Личное сообщение · #16 Djeck, в целом от него лучше вообще отказаться и юзать фантомку, а фичи патчить самому |
|
|
Создано: 15 марта 2009 13:39 · Личное сообщение · #17 Gideon Vi ОК, спасибо за подсказку, в будущем учту
|
|
|
Создано: 15 марта 2009 16:07 · Личное сообщение · #18 Сорри не надо уже скачал
Bronco пишет: Djeck пишет: поэтому байты легче найти чем подбирать Ну и на закуску, --> найди <-- Ну опять кому-то что-то доказывать, неужели на слово трудно поверить?
Code:
И того в чистом виде имеем: PUSH EBP MOV EBP,ESP ADD ESP,-78 MOV EAX,0A4EF80 Что сложного? На всё про всё ровно 2 минуты
|
|
|
Создано: 16 марта 2009 09:23 · Личное сообщение · #19 Можешь сделать еще один анпакми с ВМ? прошлую ВМ почти разобрал но нужен код с прыжками и арифметикой |
|
|
Создано: 16 марта 2009 10:33 · Личное сообщение · #20 Djeck Ты меня не понял... Ты можешь скомпилить еще один анпакми? только чтобы под ВМ были прыжки и какие нибудь арифметические вычисления Мне просто изучать вм не на чем.... Работу с регистрами, Call и не эмулируемыми инструкциями я разобрал Но мне нужно посмотреть как эмулится например jmp или jnz, add, sub и тд Тогда можно будет писать вм логгер Там всего в вм 21 команда) - это пока радует Примерно 15 я разобрал но нужно посмотреть за что отвечают остальные А для этого мне нужен новый код под ВМ |
|
|
Создано: 16 марта 2009 10:50 · Личное сообщение · #21 Nightshade Реально не понял, а чем тебя вот это не устраивает: Code:
Если хочешь, давай я тебе лучше прогу скину, она распакана+востанволен импорт и т.д. Там только вм осталось. Но зато целых 6 штук.Там уж точно всё это будет
|
|
|
Создано: 16 марта 2009 11:25 · Поправил: Nightshade · Личное сообщение · #22 Откуда этот кусок? Про прогу со сдампленной ВМ: Мне нужна вм + оригинальный код Часть я щас восстановить смогу но не зная всех команд ВМ восстанавливать будет тяжело кстати вм пока свободно дампится - антидебага в ней нет а для работы ей требуются только 2 блока данных При желании можно даже перенести ее на другие адреса в памяти патчить там немного |
|
|
Создано: 16 марта 2009 11:33 · Личное сообщение · #23 Nightshade Я же тебе ссылку в личке скинул, там оригинал, накрытая и файлик, где указаны две части вм. Иль до тебя письмецо не дошло?
|
|
|
Создано: 16 марта 2009 11:58 · Личное сообщение · #24 дошло просто ты кидаешь прогу и с разу пишешь что меня что -то не устраивает я ее пока не смотрел и не видел этого куска пока меня все устраивает... (...пока файл не смотрел:s3
|
|
|
Создано: 16 марта 2009 12:21 · Поправил: Djeck · Личное сообщение · #25 Nightshade пишет: кстати вм пока свободно дампится - антидебага в ней нет Ты смотри аккуратнее с такими выражениями, а то сейчас придут грозные крякеры и будут усираться о том, что дампить это ЗЛО. И будут утверждать, что джек гавно и подсадил Nightshade на такую же чушь. И хрен ты им объяснишь, что это делается исключительно для того, чтобы посмотреть "живой" код без мусора.
Теперь по вм. То, что я тебе даю это херня, так как в последующих версиях в процедуре где непосредственно эмулируются команды понапихано куча мусора. Хотя принцип восстановления такой же. Эмулированных команд немного добавилось, это видно невооружённым глазом. Боюсь соврать, но помойму например mov dl,1 в тех анпакми, которые я тебе даю исполняются в прямом виде (по типу перехода к call): push XXXXXXX push XXXXXXX retn А вот в двух прогах, которые я смотрел (и вероятнее всего они запакованны последними версиями обсида), эта команда эмулируется. В данный момент я понял: 1- Как найти в вм все call 2- Не эмулируемые команды 3- Немного разобрался как формируются прыжки (с адресами проблемы) 4- Понял эмуляцию некоторых команд. |
|
|
Создано: 16 марта 2009 13:12 · Поправил: Nightshade · Личное сообщение · #26 Я пока понял как эмулируются действия с регистрами эмуляция call и не эмулируемые команды пока не до конца понял действия с флагами посмотрел как эмулируются джампы - это сдвиги по таблице эмулируемых инструкций либо извлечение адреса и прыжок на него опкод 0f (eax=0f) когда находишься здесь Code:
|
|
|
Создано: 16 марта 2009 21:54 · Личное сообщение · #27 вот что получилось по прыжкам 0b jump near (inside vm) 0c -jump vmaddr(inside vm) 0d Jcc switch 0e error? 0f jmp type(short or long) +jump addr 10 nop 11 jmp? 12 nop 13 - call 14 -ror vmreg 15 -sub vmreg, vmreg Кто нить может сказать что такое опкоды 0E и 11? |
|
|
Создано: 17 марта 2009 17:02 · Поправил: Djeck · Личное сообщение · #28 |
|
|
Создано: 20 марта 2009 07:10 · Личное сообщение · #29 Djeck Рас ты занимаешься обсидом вот статья которая тебе будет интересна www.xakep.ru/post/19175/default.asp ----- Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли. |
|
|
Создано: 20 марта 2009 07:35 · Личное сообщение · #30 ClockMan Спасибо за статейку, полезно для изучения, пригодится... хоть и немного старовата .
|
|
|
Создано: 20 марта 2009 07:56 · Поправил: Djeck · Личное сообщение · #31 ClockMan Я её уже давно читал Она у меня в списке под номером два была. Вообще я сейчас ещё раз прочитал её и сделал для себя два вывода:
1- Помойму это копия статьи от Hex 2- Довольно многовато ошибок Раньше ошибки я как-то не замечал, а после того, как просмотрел практически все существующие на паблике версии обсидиума обнаружил, что ошибок достаточно многовато. Конечно есть вещи в которых я и сам до сих пор не уверен, но есть и вещи в которых я уверен абсолютно. Автор по скринам походу распаковывал сам обсидиум, а судя по первому переходнику импорта древнющую версию
|
| << . 1 . 2 . 3 . 4 . >> |
|
eXeL@B —› Дневники и блоги —› Djeck Blog |
Для печати