Подолбался чуток и запатчил таки арму (SWFDecompiler 2005 build 40730) Захотелось эмоциями поделиться ;)

| Сообщение посчитали полезным:

я писал лодер для регистри механик последнего где патчил либу армы и прога запускалась зареганной...вот только всё времени и желания нет статью дописать

| Сообщение посчитали полезным:

sanniassin
как насчет инфой поделиться?
ara86()inbox()ru

| Сообщение посчитали полезным:

Ara
Не сейчас.

| Сообщение посчитали полезным:

Если Арма не чекает свою CRC то это не так уж и сложно ;)

| Сообщение посчитали полезным:

Asterix
Арма чекает CRC ;)

| Сообщение посчитали полезным:

ну круто сам я армой не увлекался никогда...

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

> Арма чекает CRC ;)

Да? Тогда почему ее патчат в процессе распаковки, и не раз, то цикл раскриптовки/закриптовки страниц, то цикл создания импорта, и ведь не ругается..

| Сообщение посчитали полезным:

Asterix
Я в прошлый раз вопроса не понял Арма действительно свою CRC не проверяет

| Сообщение посчитали полезным:

Asterix пишет:
то цикл создания импорта
??? ну там байтики-то назад вернуть надо =) по крайнеё мере в старших версиях...
А насчёт инлайна армы, то зачем он нужен ? всё-равно нужно поиметь расшифрованую секцию кода, чтоб найти то, что нужно патчить...

ЗЫ а вообще читал я когда-то тутор про извратный инлайн для армы... где-то тут читал: www.iespana.es/saccopharynx

| Сообщение посчитали полезным:

Mario555 пишет:
А насчёт инлайна армы, то зачем он нужен ?
1. Я арму распаковывать не умею ;)
2. Размерчик патча меньше, чем cracked.exe

| Сообщение посчитали полезным:

sanniassin ну дак а как прогу ломать будешь не распаковывая ее ? методом тыка ? ... поди на собственной прожке инлайн делал ....

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

-= ALEX =-
Почему же методом тыка? Код легко восстанавливается (arma dumper by infern0)

| Сообщение посчитали полезным:

sanniassin пишет:
Код легко восстанавливается (arma dumper by infern0)
лол =) а ручками слабо ? %)

Пропатчил я тоже арму (с 2-х байтным копимемом правда, с 1000 байтным лень возится) ожидал от неё большего количества проверок... а так получается один дворд подставить (чтоб OEP переставить) и сам код патча куда-нить в конец файла (там, где его арма не чекает).

| Сообщение посчитали полезным:

-= ALEX =-
Кстати, что у тебя с инлайн-патчером для аспра сейчас происходит ? sanniassin
Круто !

Блин... оффтоплю немного.

-----
Всем не угодишь

| Сообщение посчитали полезным:

sanniassin
Дак у тя как раз и получается cracked.exe...

| Сообщение посчитали полезным:

Mario555 пишет:
ручками слабо ? %)

да без проблем, код после процедуры IAT Elimination`а нормальный (это он потом копимемится)
PlainTeXT
Не понял. Какой нафиг cracked.exe?

| Сообщение посчитали полезным:

sanniassin пишет:
да без проблем, код после процедуры IAT Elimination`а нормальный
это только в случаях, когда Elimination используется...

| Сообщение посчитали полезным:

А вообще-то мне понравилось, что арма так легко патчится, там можно даже частично автоматизировать нахождение нового значения для нужного дворда расшифровки...

ЗЫ распаковка всё равно интереснее и правильнее (ИМХО)

| Сообщение посчитали полезным:

sanniassin
это к тому что..
sanniassin пишет:
2. Размерчик патча меньше, чем cracked.exe

| Сообщение посчитали полезным:

Mario555 пишет:
это только в случаях, когда Elimination используется...
А в арме есть ещё куча мест, где можно нормальную секцию кода достать
Mario555 пишет:
там можно даже частично автоматизировать нахождение нового значения для нужного дворда расшифровки...
А что за дворд?
PlainTeXT
Всё-равно не понял...

| Сообщение посчитали полезным:

sanniassin пишет:
Почему же методом тыка? Код легко восстанавливается (arma dumper by infern0)

А че за arma dumper by infern0 ? Можно поподробнее?

| Сообщение посчитали полезным:

MozgC
_http://wasm.ru/tools/6/n-rec.zip

| Сообщение посчитали полезным:

Mario555
Напиши мне письмо..
Я тут плагин доделал, прикрутил фичу против Obsidium'а 1.2, хотел чтоб ты его протестил, а то у меня нет системы >=XP(SP1) ;)

Мыло надеюсь знаешь..

| Сообщение посчитали полезным:

> А вообще-то мне понравилось, что арма так легко патчится, там можно даже частично автоматизировать нахождение нового значения для нужного дворда расшифровки...

???
Можно хукнуть WriteProcessMemory, и когда она нужную страницу будет в прогу писать тут ее(страницу) и патчить.

| Сообщение посчитали полезным:

Bad_guy хех, проект умер еще давно, как тока он появился помню антивирусники ругались на полученные exe вот я и забил... да и способ не очень то и хороший слишком замудреный был ...

-----
Пиво, сиськи, транс

| Сообщение посчитали полезным:

кто-нить может скачать
ARMADiLLO DETECTiVE v1.00 for olly script
с форума exetools?

| Сообщение посчитали полезным:

r99
В аттаче

_736810670__ARMADiLLO_Detective_ollyscript.zip

| Сообщение посчитали полезным:

-= ALEX =- пишет:
да и способ не очень то и хороший слишком замудреный был ...
А может дашь нам на комманду? diprog.x2rus.ru. Я был бы очень благодарен.

| Сообщение посчитали полезным:

sanniassin пишет:
А в арме есть ещё куча мест, где можно нормальную секцию кода достать
хмм... я видел только после Elimination... в случая со старой армой нормальную секцию кода достать можно только патчем её процедур процесса отладчика... (может я просто внимания не обращал... но других мест не видел)

sanniassin пишет:
А что за дворд?
тот, который я использовал, чтобы изменить адрес OEP на адрес своего кода =) Ты наверно просто другим способом патчил...

Asterix пишет:
Мыло надеюсь знаешь..
Мыла не знаю... в приват тебе написал.

Asterix пишет:
Можно хукнуть WriteProcessMemory, и когда она нужную страницу будет в прогу писать тут ее(страницу) и патчить.
К чему такие сложности ? =) арма шифрует секции простым xor, так что зашифровать нужный кусок проблемой не будет (наверно..., я не пробовал, повода пока небыло ;) ) , а там уж пусть сама арма его расшифровывает...

| Сообщение посчитали полезным: