Привет всем.Вот решил попросить помощи у людей,которые разбираются в армадилле.Попалась прога SWFSlide.Скачать можно здесь --> Прога <-- http://dl.filekicker.com/send/file/193487-XJSU/swfslide.zip .Размер 1.5 МБ.
На неё навешана арма,хрен знает какой версии.Из опций походу только стандарт+дебаг блокер.Оеп нашёл а magic jump,ну никак найти не могу.Вручную пробовал восстановить импорт,но слишком много нераспознаных функций.Восстановить то восстановил,но видать криво.Прога падает очень часто.Буду рад если мне кто поможет с поиском magic jumpa,ну или с восстановлением импорта.
Чтоб вручную до ОЕП каждый раз не доходить замутил небольшой скриптик.--> Скрипт <-- http://rapidshare.com/files/84443672/arma.osc.html .Скрипт запускать стоя на EP проги,после приаттачивания к нашему процессу из ArmaDetach.Байты на EP не менять-скрипт их сам заменит.Да и если какие косяки со скриптом,измените-там комментарии есть.

| Сообщение посчитали полезным:

Djeck
Держи распакованный:
rapidshare.com/files/84448695/dump_1.rar.html
У меня в magic jump - 0C8659F

| Сообщение посчитали полезным:

VaZeR
Спасибо большое,всё ОК.
Только я чё-то не пойму-этот magic jump я находил постоянно,ставил железный бряк,перезапускал прогу и она не тормозилась в этом месте,а просто запускалась.Для меня это загадка.Парни кстати есть пару вопросов про арму.Я просто только начал с ней знакомится,поэтому если спрошу какую глупость не обижайтесь
1) Как я понимаю опция Import Table Elimination- это когда арма портит переходники и Импрек не может найти начало\конец IAT? Если да,то как я понимаю это обходится ручным указанием начала\конца IAT?
2)Чё такое Strategic Code Splicing? Как это вообще в проге выглядит?
3) Наномиты.Кто они такие?
4) Все эти опции работают только в кастом версии армадиллы? Или в кастом добавляется только работа наномитов.
5) Самый существенный для меня вопрос: у кого нибудь есть тутор по снятию армы с Copymem? Желательно на русском.А то наскачивал с tuts4you,а там либо нет нихрена copymem,либо не понятно ни чё
6) И последнее.Заметил,что если дампить прогу OllyDump,то импрек не может добавить новый ипорт.Говорит,что места не хватает.А если дампить PeTools,то всё ОК.Это из-за того,что арма портит заголовок?
Заранее благодарен за любую информацию!!!

| Сообщение посчитали полезным:

Djeck пишет:
1) Как я понимаю опция Import Table Elimination- это когда арма портит переходники и Импрек не может найти начало\конец IAT? Если да,то как я понимаю это обходится ручным указанием начала\конца IAT?
Это когда все jump [addr] и call [addr] ведут в выделенную область памяти, т.е. иат как таковой в сам файл не входит, обходится подменой выделяемого адреса на адрес в пределах файла.

Djeck пишет:
2)Чё такое Strategic Code Splicing? Как это вообще в проге выглядит?
Это когда из кода вырезаются небольшие куски, размешиваются мусором и размещаются в выделенной памяти, например jump addr, обходится аналогично.

Djeck пишет:
3) Наномиты.Кто они такие?
Это int3, которыми заменены условные переходы в защищенной проге, при попытке их исполнения отладчику армы передаётся исключение и она определив адрес возникшего исключения выполняет или не выполняет переход (основываясь на своих внутренних таблицах)

Djeck пишет:
4) Все эти опции работают только в кастом версии армадиллы? Или в кастом добавляется только работа наномитов.
Именно так, все эти опции имеются только в кастом версиях.

Djeck пишет:
6) И последнее.Заметил,что если дампить прогу OllyDump,то импрек не может добавить новый ипорт.Говорит,что места не хватает.А если дампить PeTools,то всё ОК.Это из-за того,что арма портит заголовок?
Да, портит заголовок, после правки всё нормально.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Djeck пишет:
и она не тормозилась в этом месте
Очень похоже на проделки фантома 1.20

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Самый существенный для меня вопрос: у кого нибудь есть тутор по снятию армы с Copymem?
Сам я учился снимать Арму по туторам Нарвахи которые можно найти здесь:
estetatet.narod.ru

Скорее всего аппаратный бряк у тебя не работает из за Фантома. Можно взять версию 1.15. Там вроде я таких глюков не замечал. Хотя у меня сейчас стоит 1.20. Но он у меня подфиксин, может быть из за этого у меня все ОК.

| Сообщение посчитали полезным:

Smon
Спасибо за ответ!
Smon пишет:
Это когда из кода вырезаются небольшие куски, размешиваются мусором и размещаются в выделенной памяти, например jump addr, обходится аналогично.
Понятно,видел эту хрень.
Smon пишет:
Это int3, которыми заменены условные переходы в защищенной проге
Тоже видал.В одной проге помойму штук 5 подряд идут.
Smon пишет:
Да, портит заголовок, после правки всё нормально
Это получается,что Petools автоматически исправляет заголовок?

P.S. С опциями я разобрался теперь бы про Copymem почитать.Если у кого есть ссыль или статья на компе-скиньте,буду премного благодарен?

| Сообщение посчитали полезным:

VaZeR пишет:
Скорее всего аппаратный бряк у тебя не работает из за Фантома. Можно взять версию 1.15. Там вроде я таких глюков не замечал. Хотя у меня сейчас стоит 1.20. Но он у меня подфиксин, может быть из за этого у меня все ОК.

возможно, там было запатчено несколько дагов, из-за которых открылись другие вообщем жесть,
придётся выкинуть кое-что, млин сколько же багов в ольге

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Djeck пишет:
Это получается,что Petools автоматически исправляет заголовок?
Он вставляет заголовок с оригинального файла на диске, а в оригинальном заголовке поле PE Address и атрибуты секций в нормальном состоянии, чего не скажешь о дампе.

По поводу туторов VaZeR прав, лучшие туторы по Copymem имхо у Нарвахи, перевод с испанского Estet'а, который кстати практически перестал появляться на форуме.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Maximus
VaZeR
Да точняк, фантом выкинул и всё ОК
Кстати вчера анпакал арму 4.XX.Нашёл оеп,поправил заголовок,сдампил,нашёл магический джамп исправил на JMP запускаю и...ошибка.Чё типа импорт не найден в библиотеке armacess.dll.Может быть вы похерили эту библу?.Нажимаешь ок и прога закрывается.Кто нибудь встречался с этой херью?

| Сообщение посчитали полезным:

Hellspawn
После того как я пропатчил то что ты мне тогда сказал, вроде все нормально работает. Кроме функции NtSetContextThread. При её вкл. БСОД через некоторое время обеспечен.

| Сообщение посчитали полезным:

Hellspawn
Кстати у тебя на сайте были 2 статьи про арму.Минимум протекшн и стандарт.Они довольно не плохие.Ты не в курсах чувак на этом закончил писать цикл статей?
Vazer
Кинь свой фиксенный фантом.

| Сообщение посчитали полезным:

VaZeR
Сам я учился снимать Арму по туторам Нарвахи которые можно найти здесь:
estetatet.narod.ru

Там тутор 3 армы. Интересует пятая и в частности CopyMem II. Есть такие туторы?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler
Есть тутор по 5 версии:
Armadillo 5.02 (CopyMem 2 + IAT Elimination + Code Splicing + Nanomites) - Ahmadmansoor
Скачать можно с www.tuts4you.com
Djeck
Держи:

79d3_17.01.2008_CRACKLAB.rU.tgz - PhantOm_fix.rar

| Сообщение посчитали полезным:

Djeck пишет:
Чё типа импорт не найден в библиотеке armacess.dll.
Арма при создании импорта перенаправляет вызовы из этой функи в свою память, ну типа виртуальной длл, после дампа ессно не найдётся эта библиотека. В ней реализованы ф-ии проверки пассов и т.д. Я когда столкнулся с этим просто написал эмуль для этой библы и всё, ты проверь, какие ф-ии юзаются из неё и в сдк от армы глянь...

| Сообщение посчитали полезным:

Hi, people.

Smon пишет:
лучшие туторы по Copymem имхо у Нарвахи, перевод с испанского Estet'а, который кстати практически перестал появляться на форуме

Это правда - появляюсь раз в 4-6 месяцев... - работы ВАЛОМ - реально некогда... Да и "по жизни" к реверсу "подостыл"...

Немного флуда (надеюсь не забанят)...

Еще/уже в эпоху "четверок" появилось немало тулзов по авто_распаковке: нужно было просто научиться ими пользоваться... Рукопашной работы стало мало... Посоветовавшись в привате со старожилами, я заболтил переводы... Была, правда, уже готова одна статья про криптор в "четверке" (пожелание Red_Bar0n-а в моей гостевухе), но флэшку спи.дили в клубе из портфеля вместе с мобилой и двумя USB донглами Sentinel Super Pro... На харде перевода не было - ТОЛЬКО на флэшке...

Посмотрел статью, упомянутую ЗДЕСЬ выше - даже не хочется тратить время (БЕЗ понтов) - английский ОЧЕНЬ простой - любой электронный переводчик "схавает"...

Если б кто-то нашел РЕАЛЬНО ЦЕННУЮ статью про рукопашную работу - я б "тряхнул стариной"...

Скажу ЧЕСТНО: приятно, что помнят, но еще приятнее, что народ ЧИТАЕТ/ПРИМЕНЯЕТ то, что понапереводил... (и народ подредактировал)

ЗЫ. Английские статьи любой словарь переработает... Да и реверсеры ИМХО должны приемлемо шпрэхать... С испанскими геморра поболе - двойной перевод (spanish->english->russian) - но результат того стОит... (если оригинал ПУТЁвый)

На сЁм - see U around, guys

| Сообщение посчитали полезным:

Djeck Вот распаковщик армадиллы возьми может поможет там русская и английская версия

6cf4_27.02.2008_CRACKLAB.rU.tgz - mm_dillodie1.6.zip

| Сообщение посчитали полезным:

estet
Пожалуй на русском языке только не хватает туторов о подмене hwid. Такие проги регулярно появляются, когда есть валидная пара к проге. Но все статьи только на английском что вызывает сложности у новичков.
Например есть такая статья:
Armadillo 5.xx (Hardware FingerPrint + CopyMem 2) - NaVaDa
www.tuts4you.com/download.php?view.2164

Также можно ещё и к этой статье приложить статью, где на русском объясняется про снятие самой армы новой версии с помошью спец. прог. т.е. как ими правильно пользоваться.

| Сообщение посчитали полезным:

VaZeR

Именно про ЭТУ статью я и писал, что там английский ОЧЕНЬ простой...

Вкратце по CopyMeM_II:
-запускаем ArmDetach, drag_&_drop жертву в ArmDetach - появляется Key Required окно, жмем Yes.
-Появляется Enter Key диалог - вводим Name и Serial.
-Находим Child Process PID.
-конвертим PID в десятичный - находим этот PID в посторонней проге (WinHex)
-ищем в Primary Memory hex-ы серийника с wildcard-ом
-патчим
-снова ищем
-снова патчим
-закрываем WinHex и в окне ввода серийника жмем ОК
-Key is valid and have been stored
-и картинка в статье
-аттачимся в Ольке, патчим бесконечный цикл и фиксим импорт (помните, что вы на ОЕР)

Финита

это ОЧЕНЬ коротЕнько - сам "привинтишь" к статье... - детально разбирать статью влом...

Честно говоря, я не очень врубился, причем здесь CopyMem_II - по ходу, это просто расписан патч HWID-a в памяти (похоже, CopyMem побеждается прогой ArmDetach).

Мож, я приотстал уже, но раньше я HWID-ы патчил в памяти прям из Ольки (имея валидную пару в запасе)

Кста, здесь на форуме выкладывали когда-то прожки по АВТОподмене HWID - "ищите, да обрящете" (псалом хх.ххх)

| Сообщение посчитали полезным:

Кста, этого зверя натравливал кто-нить на Арму http://www.woodmann.com/collaborative/tools/index.php/ArmaGeddon http://www.woodmann.com/collaborative/tools/index.php/ArmaGeddon ???

quote...

Armageddon is an Armadillo unpacking tool designed specifically to deal with the many protection features available in versions 3.78 thru 5.40

Supported Features
------------------
Standard Protection
Minimum Protection
Memory Patching
Debugblocker
CopyMemII
Import Elimination
Import Redirection (Emulation)
Strategic Code Splicing
Nanomites

...unquote

Обсуждают его эдесь http://www.woodmann.com/forum/showthread.php?t=11329 http://www.woodmann.com/forum/showthread.php?t=11329
(мля, там даже некто Nico - пишет, что он "бывший автор АрмЫдиллы" - высказал уважуху проге... Прикольно )

| Сообщение посчитали полезным:

estet пишет:
Кста, этого зверя натравливал кто-нить на Арму http://www.woodmann.com/collaborative/tools/index.php/ArmaGeddon ???
http://exelab.ru/f/action=vthread&forum=3&topic=11301


| Сообщение посчитали полезным:

а по инлайну (патчеванию) есть что-нить достойное для чтения ?

| Сообщение посчитали полезным:

r99
посмотри ARMa-patcher+source code
www.unpack.cn/viewthread.php?tid=22721&extra=page%3D1

| Сообщение посчитали полезным:

estet
Я тоже до сих пор патчу hwid в олли. Т.е. как это ещё описывалось в туторе про 3.xx - 4.xx версию армы. Правда метод изложенный в этом тутор на некоторых версиях не срабатывает, там нужно патчить в другом месте.

(похоже, CopyMem побеждается прогой ArmDetach)
Да так и есть, если конечно стоит соответсвующая галочка. То после детатча остановимся сразу на OEP.

| Сообщение посчитали полезным:

А как распаковывать арму c ключом, причем еще и привязанным к харду?

| Сообщение посчитали полезным:

tsay_lun пишет:
А как распаковывать арму c ключом, причем еще и привязанным к харду?
1. находиш валидную пару HWID с логином и пассом и подменяеш их, чтобы у тя запустилась прога, потом снимаеш дамп и т.д.
2. брутиш ключ на свой логин и HWID и затем так же, снимаеш дамп и т.д.
3. платиш $ и тебе анпакают

| Сообщение посчитали полезным:

[double]

| Сообщение посчитали полезным:

Вот какой вопрос по арме меня волнует в последнее время.После ручной распаковки стал замечать,что прога распакованная запускается норм работает,но не сохраняются опции.Сначало думал,что распаковал криво,потом ситуация повторилась и я насторожился.Вот сегодня распаковыывал прогу под армой,там вообще без опций-нашёл оеп,сдампил и востановил иат и всё.Там ошибится то нереально,но прога опять не сохраняет опции!Кто-нибудь знает в чём здесь проблема?

| Сообщение посчитали полезным:

borov пишет:
распакуйте пожалуйста

rapidshare.com/files/109807867/dumped_.rar

| Сообщение посчитали полезным:

pavka пишет:
посмотри ARMa-patcher+source code
А здесь не мог бы выложить? А то мну аттачи оттуда не скачать. Или линк альтернативный может есть?

-----
Программист SkyNet

| Сообщение посчитали полезным: