 |
eXeL@B —› Протекторы —› !EProt v0.01 beta |
| Посл.ответ | Сообщение |
|
|
Создано: 27 июля 2008 17:56 · Личное сообщение · #1 Собственно представляю на суд публике свою подделку. !EProt v0.01 beta - это простенький прот, с такими фишками как генератор трешкода для усложнения разбора кода, простенькие анти-трейс и анти-дебаг фичи, как я и говорил, эти фичи я временно позаимствовал у Bagie, но скоро заменю на свой код. Работает это хозяйство по следующему принципу, к ехешнику добавляется секция прота, которая заполняется рандомным трешкодом, сверху на это хозяйство можно повесить одну из ложных сигнутур. Как говориться старики посмеются, а начинающих горе-крякеров этот простенький прот возможно отпугнет 
P.S. сильно ногами не пинайте, это всеголишь бетка, я обязательно исправлюсь   3bad_27.07.2008_CRACKLAB.rU.tgz - !eprot-0.0_1_beta_.protector_tmx.rar
 |
|
|
Создано: 27 июля 2008 19:15 · Личное сообщение · #2 g-l-u-k Извини, ужасный прот. 1. Set memory breakpoint on write на секцию .data 2. Set memory breakpoint on access на секцию code Все. мы на ОЕПе 3bfd_27.07.2008_CRACKLAB.rU.tgz - Unpacked.rar
----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 27 июля 2008 19:25 · Поправил: Spirit · Личное сообщение · #3 Зобыл. Скоректируй размер создаваемой секции(sectionsize:=trashsize+fakesignsize+etc;), чтобы небыло оверлея, а то палево. [EDITED] Стукни в аську, есь чо сказать [/EDITED] ----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 27 июля 2008 19:36 · Поправил: Isaev · Личное сообщение · #4 Delphовый файл после запаковки со всеми опциями не заработал... новый прот... который распаковывается потом старым унпакером на автомате? Это ж не серьёзно [Добавлено] - Anti-Debug Protection - оригинально, нигде не встречал - Anti-Trace Protection - не нашёл... этот переход в стек? Протекция самого протектора, а после OEP всё трейсится нормально... тогда это больше пакер, хоть и не пакующий или я что просмотрел
- Trash Code - жесть! Прикольный и всегда разный! Но глюк именно в нём... не всегда работает! и опять только на прот ложится похоже распаковывается не сложнее UPX ----- z+Dw7uLu5+jqLCDq7vLu8PvpIPHs7uMh |
|
|
Создано: 27 июля 2008 21:24 · Поправил: DaRKSiDE · Личное сообщение · #5 g-l-u-k Сыровато... На дельфовых прогах валиться... По поводу трешкода...
Вот трешкод...! --> Обычный MessageBox<-- http://rapidshare.com/files/132893564/test.rar.html P.S. Аттач из рук вон ужастный!!! 
----- aLL rIGHTS rEVERSED! |
|
|
Создано: 27 июля 2008 22:52 · Личное сообщение · #6 Сыровато будет, калькулятор перестал запускаться, т.к. bound import кривой, его лучше тупо обнулить, да и после этого все равно работать отказывается. MessageBox на асме тоже не хочет работать после прота. Поковырял сам прот, продержался минут пять
С обманом анализаторов не совсем понял, для чего это, т.к. имя секции всегда же одно и тоже! По нему и можно сразу задетекить. Так что фиксите. ----- Nulla aetas ad discendum sera |
|
|
Создано: 27 июля 2008 23:39 · Личное сообщение · #7 К слову - после защиты "по максимуму" одного простенького руткита, он и дальше продолжал определяться антивирями под тем же именем. |
|
|
Создано: 28 июля 2008 00:15 · Личное сообщение · #8 Flint пишет: .к. имя секции всегда же одно и тоже! По нему и можно сразу задетекить. лол! по имени секции детектить..
simplix пишет: К слову - после защиты "по максимуму" одного простенького руткита, он и дальше продолжал определяться антивирями под тем же именем. ггг, пакер уже к малверям примеряют.. 
|
|
|
Создано: 28 июля 2008 00:26 · Личное сообщение · #9 sniperZ пишет: лол! по имени секции детектить.. Ну вот если ты сканишь пейдом файл, видишь сигна определилась одна, а OEP в секции !eprot о чем тут подумать можно?!
----- Nulla aetas ad discendum sera |
|
|
Создано: 28 июля 2008 00:55 · Личное сообщение · #10 sniperZ пишет: ггг, пакер уже к малверям примеряют.. Вообще-то это был тест пакера. |
|
|
Создано: 28 июля 2008 07:51 · Личное сообщение · #11 Вообще ИМХО конечно, но мне кажеться, что прежде выкладывать на общее обозрение свою поделку, было бы неплохо хотябы немного потестировать ее, поправить явные глюки и недостатки. Такое впечатление, что данную игрушку выложили сюды даже не тестируя ни секунды. 
----- aLL rIGHTS rEVERSED! |
|
|
Создано: 28 июля 2008 09:13 · Поправил: Spirit · Личное сообщение · #12 Че вы все накинулись на парня? Потестили, нашли баге, потестим следующую версию. Нормально. Только вот побольше бы дельных постов...я например предлагаю переход на ОЕП сделать сехом. и еще упорно жду стука в асько от аффтара 
----- iNTERNATiONAL CoDE CReW |
|
|
Создано: 28 июля 2008 19:29 · Личное сообщение · #13 Spirit пишет: Че вы все накинулись на парня? Так мы любя
Spirit пишет: и еще упорно жду стука в асько от аффтара Видимо аффтару так надо..
----- aLL rIGHTS rEVERSED! |
|
|
Создано: 29 июля 2008 14:27 · Личное сообщение · #14 Spirit а мне можно постучаться ?
g-l-u-k если ник твой постоянный то ты сможешь переименовать прот =) оч кдассная идея ..как например АСпротект .. а у тя Глюк протект будет...фиксишь минусы...добавляешь туда всякого странного чтоб вылазило при дебаге или трасировке и будет жуть ))))) всем кто Кrакает ----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 29 июля 2008 15:07 · Личное сообщение · #15 > - Trash Code - жесть! Прикольный и всегда разный! Это известное двигло из Morphine, вот по нему его и будут детектить все кому не лень. Да и то, что это поделие, под вистой не работает меня почему-то не удевляет
|
|
|
Создано: 31 июля 2008 16:52 · Личное сообщение · #16 Сори что не отвечал, сидел почти неделю без инета =) провайдер жжот. Всем спасибо как за критику так и за слова поддержки, прот, если его так можно назвать делался за 2 недели. Основные глюки вроде прикрыл, но не все. DrGolova Двигло морфиновское, я это не скрывал. Про висту скажу следующее, я "прот" под вистой писал.)) mak Да-да, ник мой уже лет 6-7 постоянный))), спасибо за идею. Spirit Так я и выложил свою подделку для того чтобы пинали))), по поводу сех интересно услышать твои мысли, в аську стукнул. Размер секции в следующей версии будет корректироваться. Flint Про bound import знаю, в следующей версии буду обнулять.)) Еще раз хочу сказать всем спасибо, все предложения и критику учту и к следующей версии попробую большую часть багов исправить.)) |
|
|
Создано: 05 августа 2008 12:29 · Личное сообщение · #17 g-l-u-k Ну я вот потестил твой прот, хотя скорее всего это сигнер. Если выбрать сигнатуру армы, после анализа пеидом он не находит арму. Вроде все сигнатуры кроме армы работают, но криво написаны, tElock v0.60 * , вместо tElock 0.60 -> tE! Ещё стоит изменять имя секции при выборе сигнатуры, а не создавать одну всегда "!eprot". |
|
|
Создано: 05 августа 2008 13:11 · Личное сообщение · #18 /offtop Встретились g-l-u-k и trouble.. Где BAGIE?)) ----- invoke OpenFire |
|
|
Создано: 05 августа 2008 16:00 · Личное сообщение · #19 Сделай, что сигнатуры прямо из userdb.txt брал))) |
|
|
Создано: 07 августа 2008 15:07 · Личное сообщение · #20 asser пишет: Сделай, что сигнатуры прямо из userdb.txt брал))) Ну, ты бахаешь. trouble пишет: Ну я вот потестил твой прот, хотя скорее всего это сигнер. Это верно, вобще не пакует и не криптует ничего, а только секцию создает с "защитным кодом" g-l-u-k, главное не забивай на проект. |
|
|
Создано: 07 августа 2008 18:13 · Личное сообщение · #21 Пока пишу новую версию, сегодня добавил 116 сигнатур, за что огромное спасибо товарищу Spirit, потихоньку добавляю новые фичи, скоро выложу анпакми, поскольку сам прот будет скорее всего для внутреннего пользования, что бы им всякую х-ню не накрывали ))) |
|
|
Создано: 10 августа 2008 14:46 · Личное сообщение · #22 g-l-u-k пишет: 116 сигнатур Которые из Fake ниндзи? Мне они не очень нравятся. Там нормальных протов нет. |
|
|
Создано: 10 августа 2008 15:51 · Личное сообщение · #23 простите а вообще какой смысл в фейковой сигнатуре? имхо, люди, которые используют PeID, чтобы судить о пакере/проте - не тру крекеры. я обычно смотрю всегда сразу на файл по F3, и уже исхожу из этого. в редких случаях открываю через анализатор. но и крекером себя не считаю
фэйковая сигнатура остановит наверное разве что начинающего, кто не в состоянии отличить прот от прота. ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 10 августа 2008 15:54 · Личное сообщение · #24 Tim пишет: я обычно смотрю всегда сразу на файл по F3 А я в 5 анализаторах
|
|
|
Создано: 10 августа 2008 15:57 · Личное сообщение · #25 Flashback/TMX пишет: А я в 5 анализаторах а я... а я... в отладчике после F3 и тогда уже в анализаторе
просто не вижу смысла в программу, выходящую за пределы понятия fake signer, добавлять эту фичу ----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 10 августа 2008 16:02 · Поправил: Flashback/TMX · Личное сообщение · #26 Tim пишет: просто не вижу смысла в программу, выходящую за пределы понятия fake signer, добавлять эту фичу Чтобы пошутить над юзверями. Там какое-то говнище, а написано ASSProtect, юзверь его в стрипер, стрипер - не может, и юзверь думает, что это новая версия и ему кранты, а на самом деле это добро даже QUnpack может распаковать. |
|
|
Создано: 10 августа 2008 16:13 · Личное сообщение · #27 Какому же юзеру надо маиться этой херней? Вы не забывайте кто такой юзер) ----- may all your PUSHes be POPed! |
|
|
Создано: 10 августа 2008 16:18 · Личное сообщение · #28 Guru_eXe не, ну чисто теоретически юзер может заюзать стриппер дело пары щелчков мышью. если повезет, снимется триал, а если нет?
----- MicroSoft? Is it some kind of a toilet paper? |
|
|
Создано: 10 августа 2008 16:24 · Личное сообщение · #29 Имхо юзеру не прийдет в голову поюзать стриппер по одной простой причине - он не знает что это, для чего оно и в каких случаях следует применять, обычный юзер будет искать кряку на варезниках. ----- may all your PUSHes be POPed! |
|
eXeL@B —› Протекторы —› !EProt v0.01 beta |
Для печати