Сейчас на форуме: zds, -Sanchez- (+8 невидимых)

 eXeL@B —› Протекторы —› Protection Plus 4.x Manual Unpacking Video --> By Kultigin
Посл.ответ Сообщение

Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 07 ноября 2007 16:47
· Личное сообщение · #1

Protection Plus 4.x Manual Unpacking Video --> By Kultigin
rapidshare.com/files/68032447/mtct_protection_plus_unpack.rar
Protection Plus 4.x Inline patch video --> By M@trixb@
www.forumlar.us/tutor/protec.htm
Protection Plus довольно простенький протектор ,гадит немного в хидер из за чего у новичков бывают траблы
Сам мультики не смотрел




Ранг: 155.4 (ветеран)
Активность: 0.140
Статус: Участник
Робо-Алкаш

Создано: 07 ноября 2007 16:54
· Личное сообщение · #2

Ыыы все равно аригато)

-----
Researcher





Ранг: 238.8 (наставник), 67thx
Активность: 0.20
Статус: Участник
CyberHunter

Создано: 07 ноября 2007 16:59 · Поправил: Flint
· Личное сообщение · #3

А где сам прот? Привык на HelloWorde все тестить
_________

Сам нашел:
www.componentsource.com/products/protection-plus-professional/index.html

-----
Nulla aetas ad discendum sera




Ранг: 81.0 (постоянный), 88thx
Активность: 0.070.02
Статус: Участник

Создано: 04 сентября 2008 13:38
· Личное сообщение · #4

Что-то у меня не выходит с этим протом...
Нашел еще один Manual Unpacking Video - www.tuts4you.com/download.php?view.2115
Но видимо, что-то в защите поменялось, т.к. вместо остановки на установленых, согласно туторов(хотя с виду в подопытной проге немного не то, по-моему), ВР - выскакивает окно, что программа запущена из-под отладчика...

Protection Plus 4.x Inline patch video --> By M@trixb@ в сети обнаружить не удалось...

Растолкуйте неучу, кто в теме и имеет желание и возможность, будь ласка...

Ссылку на исследуемую программу выкладывали в запросах на взлом - www.statease.com/files/dx7-trial.exe




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 04 сентября 2008 21:25
· Личное сообщение · #5

Чо там непонятного то, юзай плагины для скрытия, ОЕП 749e22, импорт чуть попорчен, GetProcAddress эмулится. В общем, ничего такого, с чем невозможно справиться.




Ранг: 271.6 (наставник), 2thx
Активность: 0.30
Статус: Участник

Создано: 05 сентября 2008 09:35 · Поправил: Spirit
· Личное сообщение · #6

Archer
Чето я не допер как оеп там найти
Можешь малость расписать?
На тутс4ю есь видеотутор, но там оеп находят при помощи геноепа

-----
iNTERNATiONAL CoDE CReW




Ранг: 441.3 (мудрец), 297thx
Активность: 0.410.04
Статус: Участник

Создано: 05 сентября 2008 10:25
· Личное сообщение · #7

Spirit
Скачай с рапиды то что Pavka дал, там другой способ




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 05 сентября 2008 12:34
· Личное сообщение · #8

Ну лично я искал тупо ручками, уже запустив прогу и изучая секцию кода, глядя на функи, которые могут быть близко от оеп, тыкая бряк на ShowWindow.



Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 05 сентября 2008 12:53
· Личное сообщение · #9

Spirit пишет:
Чето я не допер как оеп там найти

Самый простой способ после нага бряк на доступ к секции кода импорт там вобще просто поправить один джамп ну и на память прот там че то гадит в заголовке после дампа поправить




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 05 сентября 2008 14:13
· Личное сообщение · #10

Кому интересно вот тут расспакованный файл можете сравнитьrapidshare.com/files/142800358/DX7Trial.rar.html

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.




Ранг: 81.0 (постоянный), 88thx
Активность: 0.070.02
Статус: Участник

Создано: 05 сентября 2008 14:46
· Личное сообщение · #11

Одолел таки... Спасибо, комрады!
Действительно, как оказалось, ничего там сложного нету. Тем более в сборке от SND и использовании скрипта Protection Plus V4.2.osc...
До этого использовал TestDBG поэтому(ну и по незнанию, конечно...) на самом начале и застопорился.

Вот мой распакованый и немного поправленый файл - rapidshare.com/files/142806890/DX7Trial.zip.html



Ранг: 81.0 (постоянный), 88thx
Активность: 0.070.02
Статус: Участник

Создано: 05 сентября 2008 16:45 · Поправил: uncleua
· Личное сообщение · #12

ClockMan
Обратил внимание, что на твоем файле PEiD говорит - Microsoft Visual C++ 7.0 Method2, а на моем - пусто...
Стал смотреть - получается, что выполнение процедуры по адресу 749E22 совсем не обязательно и реальный ОЕР - 749B61.
Т.е. как у тебя...




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 05 сентября 2008 18:25
· Личное сообщение · #13

выполнение процедуры по адресу 749E22 совсем не обязательно
Если бы смотрел больше прог, то понял бы, что это оеп для прог, скомпиленных в студии>=2005. И это именно студийная процедура. И лично я не стал бы выкидывать непонятные мне процедуры, встроенные студией, но дело твоё.



Ранг: 81.0 (постоянный), 88thx
Активность: 0.070.02
Статус: Участник

Создано: 05 сентября 2008 18:55 · Поправил: uncleua
· Личное сообщение · #14

Archer пишет:
И лично я не стал бы выкидывать непонятные мне процедуры,


Может и так...
Просто внутри нее вызывается GetSystemTimeAsFileTime - вот я и решил - может это ненужные остатки от протектора...
А вот следующий за call`ом безусловный переход указывает явно на уже что-то ранее встречающееся...

Спасибо за помощь! :beer:




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 06 сентября 2008 01:15
· Личное сообщение · #15

pavkaПишет: импорт там вобще просто поправить один джамп....
Незнаю но у меня пришлось править два джампа по адресу 01351С2D и 01351D84, потомучто после правки по адресу 01351D84 у меня всёравно не определялась одна API.

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.




Ранг: 1045.7 (!!!!), 31thx
Активность: 0.570
Статус: Участник

Создано: 06 сентября 2008 02:35
· Личное сообщение · #16

uncleua пишет:
Просто внутри нее вызывается GetSystemTimeAsFileTime - вот я и решил - может это ненужные остатки от протектора...
А вот следующий за call`ом безусловный переход указывает явно на уже что-то ранее встречающееся...

Речь видимо о MSVC восмерке
call xxxxxxxx
jmp xxxxxxxx
зря значит удалил
ClockMan пишет:
Незнаю но у меня пришлось править два джампа

один или два без разницы там настолько все примитивно


 eXeL@B —› Протекторы —› Protection Plus 4.x Manual Unpacking Video --> By Kultigin
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати