Еще не знаю толком зачем, но решил открыть блог на лабе и в завести аккаунт твиттере (twitter.com/kioresk).

Попробую описывать текущие события, чем занят, что ковыряется, какие планы и т.д., а там видно будет что из этого выйдет...



| Сообщение посчитали полезным: 4kusNick

Сейчас занимаюсь в основном работой (скоро праздники, 10 дней отдыха, ура!). Когда есть свободное время — трачу его в основном на доработку деморфера для криптора и так по мелочам на разное ковыряние.

Деморфер я давно начал делать, потом долго его не трогал, в этом году решил все таки его доделать и потихоньку время от времени его правил.

Его исходный код далек от идеала, т.к. когда я начинал его писать, то не особо продумал архитектуру и много раз правил код «по быстрому».

Также пока не все задуманное реализовано, поэтому часть вещей работает на «ручном приводе» (например, восстановленный код просто сохраняется в текстовый файл, который потом с помощью Multimate Assembler вставляется в файл).

Но работает вроде исправно и ладно.


После НГ планирую:

1. Расчистить код в файлах самого EXECryptor'а 2.3.9, чтобы можно было нормально изучить его регистрацию на предмет кейгенинга.

2. Доделать наконец крипторовский девм и выложить его в паблик.

3. Уделить немного времени списку на релиз, сейчас на очереди стоят:
- Internet Access Monitor 3.9c for Kerio WinRoute
- Ytria EZ Suite

| Сообщение посчитали полезным: Gideon Vi, vnekrilov

Сам криптор состоит из 2-х частей:
- консольной (EXECrypt.exe)
- гуи (EXECryptor.exe)

Консольная часть само-собой самая важная, поэтому в первую очередь расчищаю ее.
Готово примерно наполовину.
Регистрацию вроде пробрутил, но еще не проверял.

| Сообщение посчитали полезным:

Консольную часть доделал, теперь занимаюсь гуи. Гуи готово на треть.

Пока возился — обнаружил в деморфере пару багов из серии design error (что не есть хорошо) и немного мелких ошибок.

| Сообщение посчитали полезным:

С гуи случился небольшой затык, где-то накосячил и не получилось пробрутить регистрационные дворды (они нужны чтобы заломать регистрацию, т.е. чтобы протектор запускался как зарегистрированный, с полным функционалом).

Эти дворды используются в защищенном (украденном) коде, в тех местах где код был обернут с помощью крипторовских макросов CRYPT_REG/CRYPT_UNREG (это когда в зарегистрированном режиме выполняется одна ветка кода, а в незарегистрированном — другая).

Соответственно пока они не будут пробручены код нельзя рмально новосстановить, так что буду подбирать их заново.

| Сообщение посчитали полезным:

Эх, работа наступает по всем фронтам, еле успеваю отбиваться, так что ждем-с...

| Сообщение посчитали полезным:

Ура, весна пришла! Это радостная новость, а то что месяц пролетел, а я и не заметил — не очень...

Мне пока к сожалению порадовать вас нечем.

Девм еще не доделывал, деморф гуи криптора 2.3.9 тоже, сам деморф надо допилить, описать, кое кому предоставить... т.е. планов хоть отбавляй — осталось только реализовать.

Кстати, заметил забавную вещь — мне есть что допилить в текущем деморфе (и вообще что поделать), но в тоже время в голове постоянно крутится мысль о продолжении работы над деобфускатором для VMProtect'а, ибо Vamit (которому, кстати, респект) либо потерял академический интерес к свипперу, либо занят.

| Сообщение посчитали полезным: ClockMan, Vnv, tihiy_grom

не-не, сделай сначала деморф и девм для криптора
кстати, ты ведь писал ещё до нового года, что тебе не помешала бы помощь в исследованиях.
может как-то развить до конца эту мысль?

| Сообщение посчитали полезным:

да, пожалуй на этом и сосредоточимся...

| Сообщение посчитали полезным:

Всё заглохло?

| Сообщение посчитали полезным:

tihiy_grom

Всё заглохло?

Ага, я че-то все занят, да занят... Пока ловите промежуточную часть:

https://ssl.exelab.ru/f/action=vthread&forum=13&topic=6273&page=-1#8

| Сообщение посчитали полезным:

всегда ли реален брут 8 двордов?
имею ввиду регистрацию экзекрипторную

| Сообщение посчитали полезным:

r99,

всегда ли реален брут 8 двордов?
имею ввиду регистрацию экзекрипторную

Да, подобрать регистрационные константы можно практически всегда.

Мне попадался только один файл, для которого не удалось их подобрать (из-за того, что они мало использовались в коде).

| Сообщение посчитали полезным:

kioresk пишет:
Мне попадался только один файл
хочется глянуть на этот файл

| Сообщение посчитали полезным:

r99,

если вспомню/найду — выложу.

| Сообщение посчитали полезным:

по-моему криптор уже неактуален

| Сообщение посчитали полезным:

r99,

согласен, имхо разработчики его уже давным давно закинули.

Я к нему тоже интереса особо не испытываю, т.к. реализовал почти все что мне хотелось - осталась только регистрация, которую пока надо патчить - а хочется кейгенить

| Сообщение посчитали полезным:

Хехе, вспомнил что писал здесь о релизе инструментов Ytria (в конце сообщения):

https://ssl.exelab.ru/f/action=vthread&forum=12&topic=19414#2

Недавно зарелизил первый из них — вот это скорость!

| Сообщение посчитали полезным:

Сделайте пожалуйсста туториал по devcad-у.Давно от вас не было туторов.

| Сообщение посчитали полезным:

matrix

Да там и описывать особо нечего, там одна и таже защита во всех продуктах (используется EXECryptor 2.4).

Регистрация не крипторовская, используется алгоритм IDEA. А т.к. IDEA — это симметричный алгоритм, то его легко обратить.

Трудность только в том, что код, проверяющий регистрационный ключ, защищен криптором, т.е. чтобы в нем разобраться надо либо потрейсить руками (что долго и нудно), либо восстановить исходный код (для чего нужен деобфускатор).

| Сообщение посчитали полезным:

где же он, этот деобфускатор?

| Сообщение посчитали полезным:

у привате

| Сообщение посчитали полезным:

EXECryptor умер, че скрывать-то? Как говорится, бойся живых, а не мертвых!

| Сообщение посчитали полезным:

Не все доделано еще просто, поэтому пока между своими.

| Сообщение посчитали полезным:

Выложили бы то что сейчас есть, а энтузиасты помогли бы ускорить процесс.Один вы так долго будете до делывать...

| Сообщение посчитали полезным:

Как там с рождесственским подарком?

| Сообщение посчитали полезным:

Эмм... я тут отсутствовал немного и еще немного поотсутствую в ближайшее время. Поэтому пока без подарка, извиняйте. :{

| Сообщение посчитали полезным:

Всем привет, меня давно тут не было, т.к. был архизанят, теперь иногда буду тут появляться.

| Сообщение посчитали полезным:

Как дела?

| Сообщение посчитали полезным:

Проект видимо умер ...

| Сообщение посчитали полезным: