привет всем! скачал зе бат последнюю версию почтовика клиента и ради хохмы решил его крякнуть! хе-хе не тут-то было загурзил в PEID он мне фигню какуюто выдаёт.... .загрузил в DIE вот он сразу расставил все точки над и..... говорит это злая Themida...... загрузил в Ольку и тутже вздрогнул.... Олька зависла и тут же винда мне сообщила что ошибка и нужно отправить отчёт к какойто матери..... короче парни помогите.... в чём трабла? нужна примочка к Олле? или какиенить настройке в Олле заменить?

| Сообщение посчитали полезным:

[HEX] скачл, файл чего-то битый в ахиве, но тексты вытащил.
из скрипта
mov OEP, c56d74
mov bp1, 11e80aa
mov bp2, 11e80ec
mov iat, 10c7ff8
у меня всё так же. Я вот что думаю: RSI не показал что у него в оле выставлено в Options\Debug Options\Exceptions. Может у меня там чё не так? А так всё по фильму все шаги шли и импорт также всё нашёлся.
Залить свой вариант пока не могу.
а по поводу фильмы, я обычно юзаю 1024х768. Так выставлял специально максимум и открывал в Осле, но не череp хытымыель а непосредственно swf и делал фуллскрин F11. Если через хытымыель то не видно панельку управления кином.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
Только что слил за пару секунд со слил.ру и прочекал архив. Всё там нормально. Так что либо криво слил, либо на какой то файловый архив залилось криво.

hexcsl.com/upload/link/33484


Эксепшены все в игнор ставил. ИмпРек юзал 1.7. ODBGScript практический последний. Так что опять подчеркну моё предположение: "повидимому указал криво начало IAT в ИмпРеке".

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

RSI, [HEX]
В туторе когда восстанавливаешь импорт в ImpRec указываешь OEP - это понятно че и откуда, а вот значения rva и size откуда берутся??? AutoSearch их непральна находит

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler
А накуя автоматом то? Че сложно указать место куда записали востановленую табличку? В скрипт сами же вбивали место где будет размещать новую IAT !
mov iat, 10c7ff8

Ну так и указывайте в ИмпРеке RVA IAT (10c8000 - ImageBase) = cc8000
Длину востановленой IAT посмотреть в Оле можно. Там меньше 1000 байт получается (не помню уже сколько точно), так что если укажете 1000, то тоже проканает.

Никаких особых заморочек в видео нет. Так что незнаю в чем трудности возникают.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

depler rva
RSI пишет:
VA .idata - ImageBase
[HEX] я немного не догоняю о чём речь? Если это то что пишется в rva то я писал CC8000 правда не высчитывая, так как не понимаю как это минус 40000? как например в виндовом калькуляторе это считать?
И если бы я вписал не правильно, то наверное все импорты бы писались новалид. а у меня всё точь в точь как в кине было и та одна функция тоже не распозналась, в ручну вписывал.
А в эксепшенах там ещё вручную что добавлено кроме птичек?

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
Хмм... если импорт нашелся и выглядил как в кино, то значит импорт верно востановил.
Тогда может GetModuleHandleA не востановил? Она эмулируется фимкой и в конце кина RSI показал как воставить.

В общем гадать можно долго. Шли свой результат, а там посмотрим.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Ура! заметил свою ошибку!
В импреке я писал оеп такое же какое нашёл в оле и писал в скрипте.
А оказывается дампер его меняет? вписал из дампера всё запахало!
Спасибо что возились со мной!
з.ы.
ну чтобы не создавать лишней темы: можно ли пропатчить унпакнутый, чтоб подходил кейген от 3хх?

-----
AutoIt

| Сообщение посчитали полезным:

всё получилось! Themida унпакнулась нормально..... зебат пашет как мамонт нда кстати как пишет OLEGator спасибо и от меня что возились со мной

у меня версия 4.0.24

| Сообщение посчитали полезным:

OLEGator
Никто ничего не меняет! Просто нужно понимать что в ImpRec нужно вводить адреса за вычитом ImageBase.

Что тебе мешает сравнить патченую и не патченую версию и узнать то самое место где нужно патчить?! Потом наверное по аналогии найдешь и в новой версии.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

[HEX] пишет:
Что тебе мешает сравнить патченую и не патченую версию и узнать то самое место где нужно патчить?! Потом наверное по аналогии найдешь и в новой версии.
не прокатит. код проверки ключа заморфлен, а константа для патча тоже непонятно как создается. может по кусочкам собирается, может еще как-то. короче не находится.

но можно обойти и это. я делал так:

1. находим в распакованном файле строчку "ec_key.c", их будет подряд три штуки, нас интересует только вторая.
2. находим откуда на нее ссылаются, это будет что-то типа


3. пропатчить на

регистр должен быть обязательно esi

все, после этого мыша спокойно кушает ключики из кейгена.

окошко About:
s51.radikal.ru/i131/0808/f0/2d206d4cfc1f.gif

| Сообщение посчитали полезным:

Константа на лету прекрасно подменяется, я делал унилоадер для всех 3.х - 4.х версий бата независимо запакован он или нет.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
через лоадер не всегда удобно запускать, тем более что удалось получить рабочий распакованный вариант

| Сообщение посчитали полезным:

[HEX] пишет:
ImpRec нужно вводить адреса за вычитом ImageBase.
Сори этого я не знал. Чем лучше пользоваться чтоб считать все эти числа хитрые?

ManHunter если не затруднит сделай Search and Replace патч. или подробнее распиши как что делать по шагам. Типа как для чайников.

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator пишет:
Чем лучше пользоваться чтоб считать все эти числа хитрые?

Виндовскй калькулятор вид -> инженерный -> Hex

| Сообщение посчитали полезным:

пробовал чегото не совпадал результат.
Допустим у меня было 10c8000 начала секции куда писал импорт а в импреке нада это за минусом имаджбазе значит минус 40000? и получиться должно cc8000. дак нифига.
-----------

Допёр, почему не получалось. Я вычитал сорок тысяч. а нада четыреста.
извините тормозюю.. Спасибо VaZeR

-----
AutoIt

| Сообщение посчитали полезным:

OLEGator
Все правильно 10С8000 - 400000 = СС8000. Может с нулем ошибся.

| Сообщение посчитали полезным:

Вот сделал патч для распакованного файла, попробуйте и отпишитесь, вроде должен работать. После патча можно вставлять серийник из кейгена на свое имя и радоваться

Патч и кейген в аттаче

3936_29.08.2008_CRACKLAB.rU.tgz - patch+keygen.rar

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

depler спасибо!
проверил на
4.0.28.1
4.0.28.3
работает.

-----
AutoIt

| Сообщение посчитали полезным:

depler не пашет!
проверил на 4.0.24

| Сообщение посчитали полезным:

Что именно не пашет? Пропатченный файл не запускается или не патчит вообще? Попробуй найти место про которое писал ManHunter в посте выше и напиши че за инструкции у тя в том районе строчек 10 вверх и вниз

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

lobs
Только что проверил на 4.0.24 - все работает.

TO ALL
Может ктонить снять мувик по снятию темиды 1.9.9.0 упакованного блокнота например? Я так понял в TheBat защита минимальная стоит поэтому и снимается легко, хотелось бы посложнее чтото разобрать

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Для версии 4.0.26.4
--
011F6EBA JMP thebat__.011F8006
011F6EBF PUSH 98BF95B
011F6EC4 JMP thebat__.011600BD
011F6EC9 PUSH 98BF9D6
011F6ECE JMP thebat__.011600BD
011F6ED3 PUSH 98BFAC8
011F6ED8 JMP thebat__.011600BD
011F6EDD PUSH 98BFB2E
011F6EE2 JMP thebat__.011600BD
011F6EE7 PUSH 98BFBED
011F6EEC JMP thebat__.011600BD
011F6EF1 PUSH 98BFD79
011F6EF6 JMP thebat__.011600BD
011F6EFB PUSH 98BFDEC
011F6F00 JMP thebat__.011600BD
011F6F05 PUSH 98BFEA0
011F6F0A JMP thebat__.011600BD
011F6F0F PUSH 98C0007
011F6F14 JMP thebat__.011600BD
011F6F19 PUSH 98C00C7
011F6F1E JMP thebat__.011600BD
011F6F23 SETE BYTE PTR SS:[EBP-9] <-- Очень интересное место.
--
TheBat патчится одним байтом ну и потом само собой пользуемся кейгеном!

| Сообщение посчитали полезным:

depler пишет:
Может ктонить снять мувик по снятию армы 1.9.9.0 упакованного блокнота например? Я так понял в TheBat защита минимальная стоит поэтому и снимается легко, хотелось бы посложнее чтото разобрать

Сам понял что ляпнул? Первая арма снимается не сложнее UPX-а.

| Сообщение посчитали полезным:

Vovan666
ЫЫЫ... темида то есть 1.9.9.0 по версии же понятно

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Как я понимаю Themida и Winlicense это типа плод одной канторы?
И дабы не продить тем, спрошу тут.
Какие способы хранения триальных меток использует эта гадость Winlicense?
Столкнулся с такой штукой: Если триальный период не вышел, то обнуляется легко удалением 2х файлов 4х ключей в реестре. Но если триал период вышел то какие токо пляски я не пробовал, прогу оживить не удалось. Оно что пишет загрузочный сектор? И как тогда обнулить?
эта прога http://download.progdvb.com/trial/ProgDVB5.15.9Pro.exe

-----
AutoIt

| Сообщение посчитали полезным:

Оно что пишет загрузочный сектор? И как тогда обнулить?

в ADS поди и пишет, сейчас это модно

| Сообщение посчитали полезным:

Уфф.. нет. Ложная тревога. Ещё один подлый файлик сидел, который всегда рандомный на разных машинах.

-----
AutoIt

| Сообщение посчитали полезным:

depler пишет:
Может ктонить снять мувик по снятию темиды 1.9.9.0 упакованного блокнота например? Я так понял в TheBat защита минимальная стоит поэтому и снимается легко, хотелось бы посложнее чтото разобрать

ну так сам и разберись, че сразу на все готовенькое расчитывать

| Сообщение посчитали полезным:

А кому ж не нравится халява?

-----
Лень - это подсознательная мудрость

| Сообщение посчитали полезным:

Халява нравится всем-это хорошо, но хотелось бы поменьше оффтопа. К тому же вряд ли со всеми опциями кто-то будет видос снимать.
А по теме если-в фиме 1.9.9.0 антидампов новых напихали, мусора побольше, вроде.

| Сообщение посчитали полезным: