ArmaG3ddon v1.8 (10 декабря 2009)

Armag3ddon Armadillo unpacking tool designed specifically to deal with the many protection features available in versions 3.78 thru 6.2 and possibly above (see readme.txt for details)

Ключевые возможности:

* Standard Protection
* Minimum Protection
* Memory Patching
* Debugblocker
* CopyMemII
* Import Elimination
* Import Redirection (Emulation)
* Strategic Code Splicing
* Nanomites
* Randomized PE section names
* Shockwave Flash + applications that utilize overlays (minimize size option required)
* Hardware locking (Standard / Enhanced Fingerprint support)

Скачать на сайте ARTeam http://www.accessroot.com/arteam/site/download.php?view.262
ArmaG3ddon_v18_by_ARTeam.rar http://www.accessroot.com/arteam/site/request.php?262 , 1.64 MB

Tutorial: ArmaGeddon v1.0 Conceptual overview tool for unpacking Armadillo http://www.accessroot.com/arteam/site/download.php?view.221

| Сообщение посчитали полезным:

Bronco пишет:
Код либы дельфовой, инициализацию проходит видать при унпаке сабжей, и юзаетЦа скорее всего для востановления импорта.
Похоже на то ;) делфи похоже заюзано от краклатинос

| Сообщение посчитали полезным:

pavka пишет:
mov [ebp][-8],eax
Хм...Прикольно...эт в чём такой дизасмлистинг генеритЦа

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
в чём такой дизасмлистинг генеритЦа
В Hiew

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

Тема странно перешла в распаковку самого инструмента

| Сообщение посчитали полезным:

ребятки, имхо совсем говнотулза. Первое впечатление о проге я получил взглянув в архив, там библа для восстановления нанок от арминлайн ну а закончилось знакомство тем, что она у меня даже не запустилась, повиснув при запуске так и не отрисовав окна.....

| Сообщение посчитали полезным:

Bit-hack пишет:
ребятки, имхо совсем говнотулза

без уток и рыбу раком. Твой стрипер какой-нибудь локализатор-новичок юзать не может, а dilloDIE свежие версии не берёт

| Сообщение посчитали полезным:

Bit-hack пишет:
повиснув при запуске так и не отрисовав окна.....
айс установленый палит

| Сообщение посчитали полезным:

pavka пишет:
айс установленый палит
У меня не установлен сайс.
Gideon Vi пишет:
Твой стрипер
Ждёмс, всё будет, просто я одну крупную ошибку допустил при реализации нанок, придётся переписывать... Точнее менять подход.

| Сообщение посчитали полезным:

Bit-hack пишет:
Точнее менять подход
От "подхода" Адмирала чем отличатЦа будет????

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bit-hack пишет:
У меня не установлен сайс.
А распакованый запускаеться?

| Сообщение посчитали полезным:

Bronco пишет:
От "подхода" Адмирала чем отличатЦа будет????
Понятия не имею, т.к. не знаю что это за подход Адмирала.

pavka пишет:
А распакованый запускаеться?
Незнаю, не пробовал

| Сообщение посчитали полезным:

Bit-hack пишет:
Понятия не имею
Nanolib.dll???
NanoView???

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bit-hack

Bronco пишет:
От "подхода" Адмирала чем отличатЦа будет????

там на woodman форуме чел Адмирал пишет, типа, авторам:
"You actually reverse-engineered ArmInline to work out how to interface with my Nanolib.dll" - Вы фактически зареверсили ArmInline, чтоб разобраться, как заинтерфейситься с моей Nanolib.dll

| Сообщение посчитали полезным:

ArmaGeddon_v1.1_by_Condzero

Version History
---------------
February 2008 - v1.1
+ added dll support (dll loader.exe)
+ added option "Use OpenMutext trick" to force a single process. Use only if normal "debug blocker" processing fails. This would occur when a parent process launches the child process, but doesn't debug the child process (i.e. use the WaitForDebugEvent API)
+ improve IAT elimination functionality
+ includes updated ARTeam Import Reconstructor

arteam.accessroot.com/releases.html?fid=35

| Сообщение посчитали полезным:

Ню вот, вопреки нашим армовым гуру сабж стал нормальным инструментом для новичков (к которым относится так же большинство локализаторов).

зы. Хочу посчупать ARP == lena151's Anti Rip Protector... может кто-нибудь по большому привату?

| Сообщение посчитали полезным:

Gideon Vi
+1 Первый стрип, который у меня тоже что-то распаковал "на автомате". И пусть это будет сборной солянкой чужих идей и наработок, главное тут результат.

| Сообщение посчитали полезным:

Gideon Vi пишет:
Хочу посчупать
Впоймал Иван-царевич Серого Волка,
и....как начал на нём кататЦа
//Весна понимаете ли..
------------
/*
Эт скорее всего частный случай для сишных прог, чем панацея для снятия защиты ART.
//тем паче ...бёт и кормит его Павыч..)))
1.Дампишь сабж PE_Tools-ом
2.Дампишь PE_Tools-ом регион 7FF50000
3.Запускаешь ImpREC
a.Вписываешь в OEP:00009A79
//адрес находишь путём аннализа кода дампа, в Ольке, если есть столенбайт, тоды под Айсом реверсишь.
b.Восстанавливаешь табличку.
4.Аттачишь PE_Tools-ом сдампленный регион.
5.Грузишь сабж в Ольку
6.Заливаешь секцию ART - зеро.
7.Копипастишь данные из приаттаченной секции в секцию ART.
8.Запускаешь скриптец:
//типа 4истая "механика"...))))
*/
var address
var scan

mov scan,401000
next:
find scan,#68????f57f#
cmp $RESULT,0
je exit
mov address,$RESULT
mov eip,$RESULT
mov eax,[eip+1]
sub eax,7FAF3000 //получаем va адрес секции ART
mov [eip+1],eax
jmp next
exit:
ret
/*
9.Киляешь приаттаченную секцию...)))
*/

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

такой глупый вопрос:
прого на выходе делаеть 2 файла:
имя.exe
имя_.exe
как я подозреваю первое просто дамп а второе уже с восстановленым импортом?
просто у меня оба запускаются и работают. вот и мучают сомнения.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
как я подозреваю первое просто дамп а второе уже с восстановленым импортом?

угу

OLEGator пишет:
просто у меня оба запускаются и работают.

Дык, а как по другому? На другой машине первый файл не запустится

| Сообщение посчитали полезным:

Некоторые игры от Оберон медия (Арма стандарт + Дебаг блок) не берет Dillodie 1/4 - А эта тулза взяла, но с включенной опцией "Use OpenMutex trick"

И наоборот - другую игру тулза не распаковала, зато Dillodie помог. Вообщем полезная вещь .

Жаль, что оверлей не берет и макромедию, замучался уже с ними - как черт возьми правильно приклеить дамп оверлея к дампу игры ? Делаю по тутору от ARteam - не получается...

| Сообщение посчитали полезным:

Унпакеры mr_magic и sPec на порядок выше, жаль что развития нет.
Топовая, хоть и унпачит (иногда), но всё равно недорозумение какое-то...
Soft_Ice пишет:
не берет Dillodie 1/4
Dillodie 1.5-1.6:
www.sendspace.com/file/6nj8yl

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Gideon Vi пишет:
может кто-нибудь по большому привату?
Если я правильно лену понял то прот комерческий . Так что если есть интерес к проту, она выкладывала
три анпакми Lite, Standart, Pro на tuts4you и AR Team

| Сообщение посчитали полезным:

Bronco пишет:
Весна понимаете ли..

Хе-хе

Bronco пишет:
Топовая, хоть и унпачит (иногда), но всё равно недорозумение какое-то...

Может и недоразумение, но работает

pavka пишет:
ак что если есть интерес к проту, она выкладывала
три анпакми Lite, Standart, Pro на tuts4you и AR Team

Ага, пасиб за наводку

| Сообщение посчитали полезным:

Bronco пишет:
Soft_Ice пишет:
не берет Dillodie 1/4
Dillodie 1.5-1.6:
www.sendspace.com/file/6nj8yl

Спасибо, они есть у меня. Вот только не работают под ХР и файерволом - вылетают на стадии распаковки. А если файер (Аутпост) отключить - вылетают с ошибкой приложения.
Фиг знает почему, видимо Аутпост и его дрова в ринг0 не нравятся.
Впрочем это оффтоп, закругляюсь...

| Сообщение посчитали полезным:

ArmaGeddon V1.2 by Condzero

Version History
---------------
March 2008 - v1.2
+ improved PE section name resolution for internal use (thank's Ghandi)
+ improved ARTeam Import Reconstructor v1.1

arteam.accessroot.com/releases.html?fid=35

| Сообщение посчитали полезным:

Armageddon V1.2g by CondZero

March 2008 - v1.2g [gabor edition]
+ add warning message for OEP call return VA not from Armadillo VM
Note: Informational, not usually relevant for dll's or exe's with copymem2,
but may be useful for troubleshooting invalid OEP's resulting
from custom implementations and/or packing / compressing of a file
prior to being protected by Armadillo
+ fix problem with copymem2 search string error
+ fix problem with createdump on error

arteam.accessroot.com/releases.html?fid=35

| Сообщение посчитали полезным:

del

| Сообщение посчитали полезным:

ArmaGeddon v1.3 by CondZero/ARTeam

+ resolve relocations for dll files (Nacho_dj)
+ added new option to minimize the size of a dumped file (Nacho_dj)
Particulary useful for Shockwave Flash + applications that make use of an overlay. Of course this will also rebuild a normal target's PE structure.
+ improved import rebuilder v1.1.2 (Nacho_dj)
+ added new option to "Resolve" nanomite INT3 instructions with their original
jmp instructions and patch directly to the dumped target. Requires use of the nanomite "Analyze" + "Log" options. Note: you can also elect to resolve nanomites directly to a target process's memory if you elect to detach!!
+ integrated Admiral's Strategic Code Splicing removal engine into the tool.
This is now the (default) behaviour and can be overridden with new option to
redirect CS (code splices) instead
+ new option to dump / decrypt / decompress the .pdata section to a binary file
+ new option to detach from a process (choose: DebugBlocker or CopyMemII)
+ resolve problem for ArmAccess dll function:Installkey missing error msg
+ add support for UPX compressed single process targets
+ new option to change your Standard / Enhanced Hardware Fingerprint ID
+ resolve some minor bugs

--> DownloadMe <-- http://arteam.accessroot.com/releases.html?fid=35

| Сообщение посчитали полезным:

Перезалейте пожалуйста на рапиду...

-----
aLL rIGHTS rEVERSED!

| Сообщение посчитали полезным: