ArmaG3ddon v1.8 (10 декабря 2009)

Armag3ddon Armadillo unpacking tool designed specifically to deal with the many protection features available in versions 3.78 thru 6.2 and possibly above (see readme.txt for details)

Ключевые возможности:

* Standard Protection
* Minimum Protection
* Memory Patching
* Debugblocker
* CopyMemII
* Import Elimination
* Import Redirection (Emulation)
* Strategic Code Splicing
* Nanomites
* Randomized PE section names
* Shockwave Flash + applications that utilize overlays (minimize size option required)
* Hardware locking (Standard / Enhanced Fingerprint support)

Скачать на сайте ARTeam http://www.accessroot.com/arteam/site/download.php?view.262
ArmaG3ddon_v18_by_ARTeam.rar http://www.accessroot.com/arteam/site/request.php?262 , 1.64 MB

Tutorial: ArmaGeddon v1.0 Conceptual overview tool for unpacking Armadillo http://www.accessroot.com/arteam/site/download.php?view.221

| Сообщение посчитали полезным:

Огромное спасибо, у меня как раз проблемы с 3.хх армадиллой.

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

У кого-нибудь нормально работает? На фрапсе неверно определяет OEP, а больше сейчас ничего под рукой нет

| Сообщение посчитали полезным:

Gideon Vi
Болванку со всеми опциями (+false nano) распаковал на ура, версия 4.40.0197 Custom.
Easy CD-DA Extractor v.11 распаковал с некоторыми доработками вручную.
В общем - must have

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Ну маст. не маст, но поделка довольно интересная. 5-ку распаковало, а другие не брали. Правда иногда оеп не правильно определяет.

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Assass1n пишет:
Правда иногда оеп не правильно определяет.

Вот это мешает. Насколько я вижу, автор не озаботился прикрутить ручной ввод oep?

| Сообщение посчитали полезным:

x64 распаковывает?

| Сообщение посчитали полезным:

ut2004 пишет:
x64 распаковывает?
Скачай и проверь...

-----
Я ещё не волшебник, я только учусь...

| Сообщение посчитали полезным:

Gideon Vi пишет:
Вот это мешает
Кому мешает? Не долго же после распаковки наставить ОЕП на путь истенный.

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

а на Link Commander у меня обломилась

| Сообщение посчитали полезным:

Похоже, что и не работает если сначала показыватся армовский "наг", попробовал на 2х играх, говорит string: 8b853f3fxxxxxxxxxx not found.

| Сообщение посчитали полезным:

не смогла распаковать единственную прогу которая мне интересна - Mobiola WebCam for UIQ3... жаль

| Сообщение посчитали полезным:

Maximus пишет:
Кому мешает? Не долго же после распаковки наставить ОЕП на путь истенный.

Не долго, но тулза позиционируется, как полноценный анпакер - не долго было окошко с полем для ввода циферок с буковками присобачить

| Сообщение посчитали полезным:

Распаковывать кто нить пробовал армагедон? Висит вроде ленин протектор может с ручной доработкой ?сама прога вроде как сишная
чет похожее на начало
00409375 66:813D 00004000 4D5A CMP WORD PTR DS:[400000],5A4D
0040937E 74 04 JE SHORT Dumped.00409384
00409380 33C0 XOR EAX,EAX
00409382 EB 51 JMP SHORT Dumped.004093D5
00409384 A1 3C004000 MOV EAX,DWORD PTR DS:[40003C]
00409389 81B8 00004000 5045000>CMP DWORD PTR DS:[EAX+400000],4550
00409393 ^ 75 EB JNZ SHORT Dumped.00409380
00409395 0FB788 18004000 MOVZX ECX,WORD PTR DS:[EAX+400018]
0040939C 81F9 0B010000 CMP ECX,10B
004093A2 74 1B JE SHORT Dumped.004093BF
004093A4 81F9 0B020000 CMP ECX,20B
004093AA ^ 75 D4 JNZ SHORT Dumped.00409380
004093AC 83B8 84004000 0E CMP DWORD PTR DS:[EAX+400084],0E
004093B3 ^ 76 CB JBE SHORT Dumped.00409380
004093B5 33C9 XOR ECX,ECX
004093B7 3988 F8004000 CMP DWORD PTR DS:[EAX+4000F8],ECX
004093BD EB 11 JMP SHORT Dumped.004093D0
004093BF 83B8 74004000 0E CMP DWORD PTR DS:[EAX+400074],0E
004093C6 ^ 76 B8 JBE SHORT Dumped.00409380
004093C8 33C9 XOR ECX,ECX
004093CA 3988 E8004000 CMP DWORD PTR DS:[EAX+4000E8],ECX
004093D0 0F95C1 SETNE CL
004093D3 8BC1 MOV EAX,ECX
004093D5 6A 02 PUSH 2
004093D7 A3 8C564200 MOV DWORD PTR DS:[42568C],EAX
004093DC FF15 24024200 CALL DWORD PTR DS:[420224] ; MSVCR80.__set_app_type
004093E2 6A FF PUSH -1
004093E4 FF15 20024200 CALL DWORD PTR DS:[420220] ; MSVCR80._encode_pointer
004093EA 59 POP ECX
004093EB 59 POP ECX
004093EC A3 E0594200 MOV DWORD PTR DS:[4259E0],EAX
004093F1 A3 E4594200 MOV DWORD PTR DS:[4259E4],EAX
004093F6 FF15 1C024200 CALL DWORD PTR DS:[42021C] ; MSVCR80.__p__fmode
004093FC 8B0D D0594200 MOV ECX,DWORD PTR DS:[4259D0]
00409402 8908 MOV DWORD PTR DS:[EAX],ECX
00409404 FF15 18024200 CALL DWORD PTR DS:[420218] ; MSVCR80.__p__commode
0040940A 8B0D CC594200 MOV ECX,DWORD PTR DS:[4259CC]
00409410 8908 MOV DWORD PTR DS:[EAX],ECX
00409412 A1 14624500 MOV EAX,DWORD PTR DS:[<&msvcr80._adjust_>
00409417 8B00 MOV EAX,DWORD PTR DS:[EAX]
00409419 A3 D4594200 MOV DWORD PTR DS:[4259D4],EAX
0040941E E8 C4020000 CALL Dumped.004096E7
00409423 E8 86040000 CALL Dumped.004098AE
00409428 833D 8C3A4200 00 CMP DWORD PTR DS:[423A8C],0
0040942F 75 0C JNZ SHORT Dumped.0040943D
00409431 68 AE984000 PUSH Dumped.004098AE ; Entry address
00409436 FF15 10024200 CALL DWORD PTR DS:[420210] ; MSVCR80.__setusermatherr
0040943C 59 POP ECX
0040943D E8 43040000 CALL Dumped.00409885
00409442 833D 883A4200 FF CMP DWORD PTR DS:[423A88],-1
вторая секция типичное делфи
0041F634 55 PUSH EBP
0041F635 8BEC MOV EBP,ESP
0041F637 83C4 C4 ADD ESP,-3C
0041F63A B8 B4F54100 MOV EAX,Dumped.0041F5B4
0041F63F E8 F0F1FEFF CALL Dumped.0040E834
0041F644 E8 5BD2FEFF CALL Dumped.0040C8A4

| Сообщение посчитали полезным:

pavka пишет:
сама прога вроде как сишная
+1

pavka пишет:
вторая секция типичное делфи
судя по дампу - во второй секции лежит библиотека, причём с затёртым как и у оригинала заголовком...

+что интересно - имееццо защита от full dump PE_Tools'а, если дампить регионом то всё в подряде...

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

У меня че-то ни под одной сборкой ольки не запускается

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit пишет:
У меня че-то ни под одной сборкой ольки не запускается
Он запускается только в цикле ;) фишка лениного прота где и чем он палит так и не нашел
Smon пишет:
судя по дампу - во второй секции лежит библиотека, причём с затёртым как и у оригинала заголовком...

+что интересно - имееццо защита от full dump PE_Tools'а, если дампить регионом то всё в подряде...
очень похоже на второй слой, может стаб самопального прота

| Сообщение посчитали полезным:

pavka
и как его дебажить?
получается можно только приаттачиться и посмотреть

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

pavka пишет:
0041F634 55 PUSH EBP
0041F635 8BEC MOV EBP,ESP
0041F637 83C4 C4 ADD ESP,-3C
0041F63A B8 B4F54100 MOV EAX,Dumped.0041F5B4
0041F63F E8 F0F1FEFF CALL Dumped.0040E834
0041F644 E8 5BD2FEFF CALL Dumped.0040C8A4
Скорее всего это дельФе.Бывшая секция кода разбита теперь на две секции.
Табличка почти целая.
Под Айсом пробовал???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Скорее всего это дельФе.Бывшая секция кода разбита теперь на две секции.
да делфи ;) Там получается слой кода С, слои кoda делфи, общая иат, сишная data, делфи дата Х.з как это все склеили ;)
Spirit пишет:
и как его дебажить?
получается можно только приаттачиться и посмотреть
Ну в принципе можно закциклить, восстановить импорт и думать как все собрать в кучу

| Сообщение посчитали полезным:

pavka пишет:
Там получается слой кода С, слои кoda делфи, общая иат, сишная data, делфи дата Х.з как это все склеили
Дык вы читали статью то? Он там варганил из длл либ и цеплял её статически к проекту, отсюда и смешения языков, видимо.

| Сообщение посчитали полезным:

pavka
Со стабом фиг знает, если только не дельфовый юзать, а
с импортом там фигня,сдампи регион
Dump_7FF50000_00050000
Потом находишь инструкции типа
push 7ffxxxxx
ret
правишь на jmp [xxxxxxx] , адреса лежат в сдампленном регионе.
//Мона в любом HEXEdit глянуть.
У мну PE Tools дампитЦа шоколадно...

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

При наличии секции .nano в распакованной программе, жертва не работает в висте . Косяк в обнаружении адреса GetProcAddress, вместо нее находится процедура GetPrivateProfileStructW и прога падает.
Если у кого есть виста, гляньте где надо подправить, а то у мну негде поотлаживать, нет висты...

-----
StarForce и Themida ацтой!

| Сообщение посчитали полезным:

Айс пока лениво ставить, а под Олькой много не поюзаешь, пока шаманю над тупым дампом..
Не хотелось бы, ещё раз ошибатЦа, но родное OEP по ходу здесь:
0409459 > $ 55 PUSH EBP
0040945A . 8BEC MOV EBP,ESP
0040945C .^ E9 35FDFFFF JMP Dumped_.00409196

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
правишь на jmp [xxxxxxx] , адреса лежат в сдампленном регионе.
чуть по другому ;) скрипт
var addr
var addr2
var addr3
var addr7
var oep
var ckb




mov addr,00401000
mov oep,eip

CALLS_01:
find addr,#68????F57FC3#
cmp $RESULT,0
je END_01
mov eip, $RESULT
mov addr, $RESULT
sti
sti
mov ckb,[eip]
and ckb,000000FF
cmp ckb,FF
je jw
sti
mov addr2,eip
add addr2,2
mov addr3, [addr2]


mov addr7, addr
mov [addr7], 15ff
add addr7,2
mov [addr7], addr3

LABEL_01:
add addr,2
jmp CALLS_01
jw:
mov addr2,eip
add addr2,2
mov addr3, [addr2]


mov addr7, addr
mov [addr7], 25ff
add addr7,2
mov [addr7], addr3

LABEL_01:
add addr,2
jmp CALLS_01

END_01:
mov eip,oep
ret

Bronco пишет:
Не хотелось бы, ещё раз ошибатЦа, но родное OEP по ходу здесь:
0409459 > $ 55 PUSH EBP
0040945A . 8BEC MOV EBP,ESP
0040945C .^ E9 35FDFFFF JMP Dumped_.00409196
Там инициализация из делфи ч.з потоки х.з муть короче

| Сообщение посчитали полезным:

на форуме appznet автор (или не автор) просит ссылки на проги с сабжевыми глюками

| Сообщение посчитали полезным:

pavka
ГЫ...OEP родное, роднее просто не бывает...
Приатачил в тупую сдамленный регион (7FF50000) к дампу(сдампил PE Tools) , с востановленным импортом.
Подмарафетил push под новую секцию.У мну дамп стартует.
[add]
Фиг знает для чего там дельфовая либа, у мну дамп, даже потестить не на чем.
Download Link:
www.sendspace.com/file/8ngge7
[/add]

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco
;) Стартует не вопрос. Х.з стартовый код должон быть
004093D7 A3 8C564200 MOV DWORD PTR DS:[42568C],EAX
004093DC FF15 24024200 CALL DWORD PTR DS:[420224] ; MSVCR80.__set_app_type
004093E2 6A FF PUSH -1
004093E4 FF15 20024200 CALL DWORD PTR DS:[420220] ; MSVCR80._encode_pointer
004093EA 59 POP ECX
004093EB 59 POP ECX
004093EC A3 E0594200 MOV DWORD PTR DS:[4259E0],EAX
004093F1 A3 E4594200 MOV DWORD PTR DS:[4259E4],EAX
004093F6 FF15 1C024200 CALL DWORD PTR DS:[42021C] ; MSVCR80.__p__fmode
004093FC 8B0D D0594200 MOV ECX,DWORD PTR DS:[4259D0]
00409402 8908 MOV DWORD PTR DS:[EAX],ECX
00409404 FF15 18024200 CALL DWORD PTR DS:[420218] ; MSVCR80.__p__commode
0040940A 8B0D CC594200 MOV ECX,DWORD PTR DS:[4259CC]
00409410 8908 MOV DWORD PTR DS:[EAX],ECX
00409412 A1 14624500 MOV EAX,DWORD PTR DS:[<&msvcr80._adjust_>
00409417 8B00 MOV EAX,DWORD PTR DS:[EAX]
00409419 A3 D4594200 MOV DWORD PTR DS:[4259D4],EAX
0040941E E8 C4020000 CALL Dumped.004096E7
00409423 E8 86040000 CALL Dumped.004098AE
00409428 833D 8C3A4200 00 CMP DWORD PTR DS:[423A8C],0
0040942F 75 0C JNZ SHORT Dumped.0040943D
00409431 68 AE984000 PUSH Dumped.004098AE ; Entry address
00409436 FF15 10024200 CALL DWORD PTR DS:[420210] ; MSVCR80.__setusermatherr

| Сообщение посчитали полезным:

Вот примерно так оеп
.004099B6: 6A70 push 070 ;'p'
.004099B8: 6880194200 push 000421980 ;' B Ç'
.004099BD: E815000000 call .0004099D7
.004099C2: 33DB xor ebx,ebx
.004099C4: 53 push ebx
.004099C5: 8B3DAC614500 mov edi,GetModuleHandleA -- 1
.004099CB: FFD7 call edi
.004099CD: E8A3F9FFFF call .000409375 -- 2
.004099D2: E882FAFFFF call .000409459 -- 3
.004099D7: 6868944000 push 000409468 -- 4
.004099DC: 64A100000000 mov eax,fs:[000000000]
.004099E2: 50 push eax
.004099E3: 8B442410 mov eax,[esp][010]
.004099E7: 896C2410 mov [esp][010],ebp
.004099EB: 8D6C2410 lea ebp,[esp][010]
.004099EF: 2BE0 sub esp,eax
.004099F1: 53 push ebx
.004099F2: 56 push esi
.004099F3: 57 push edi
.004099F4: 8B45F8 mov eax,[ebp][-8]
.004099F7: 8965E8 mov [ebp][-018],esp
.004099FA: 50 push eax
.004099FB: 8B45FC mov eax,[ebp][-4]
.004099FE: C745FCFFFFFFFF mov d,[ebp][-4],-1 ;'    '
.00409A05: 8945F8 mov [ebp][-8],eax
.00409A08: 8D45F0 lea eax,[ebp][-010]
.00409A0B: 64A300000000 mov fs:[000000000],eax
.00409A11: C3 retn
.00409A12: 0000 add [eax],al

rapidshare.com/files/93608981/ArmageddonU.rar

| Сообщение посчитали полезным:

pavka пишет:
Вот примерно так оеп
Колись где рипнул?????
//поШто "родное" обидел...
------------
Код либы дельфовой, инициализацию проходит видать при унпаке сабжей, и юзаетЦа скорее всего для востановления импорта.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: