Доброго времени суток.
я наконец смог снять стар 4.7 бэйсик. взялся за 3 про. а тут проблема - куча исключений в анпакнутом файле. в оригинале же их нет. это обработчик исключений в оригинале? буду благодарен за любую зацепку.

| Сообщение посчитали полезным:

BoRoV
Кинь его сюда

-----
Research For Food

| Сообщение посчитали полезным:

daFix пишет:
Кинь его сюда
Не, это к софтярке, это как бе "преват" его, пусть он распоряжается.

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

[Nomad]
По крайней мере если отвязать зависимость защиты от нулевого кольца можно более комфортно работать.
Я копал драйвер идой только, для бсода нашел только один вызов KeBugCheckEx, и не нашел операции с др1-др4. Обработчик старовских точек останова на 3м кольце?

Кстати, кто нибудь дебажил Solid Shield(Tages SA) v 1.x (ведьмак ей защищен) ? hc.dll и protect.dll имеют сходство, по крайней мере "шкурка" точно. Тагесовский драйвер(в количестве двух штук) геометрию только считает, причем без разбора типа устройства(сд,флэш,хард)-если я правильно понял


| Сообщение посчитали полезным:

ELF_7719116 пишет:
No way man! Для ADD цпу будет еще декодить операнд!
И что? Всё равно будет быстрее работать.


ELF_7719116 пишет:
Однако, если по прыжок с одинаковым байтом/двордом-операндом будет размещен по разным адресам, адреса конечного назначения прыга НЕ будут одинаковыми.
Насколько я понял у него внутри одной длл все прыжки, зачем тогда надумывать? Я еще 100 причин могу найти зачем нужно использовать смещения а не хардкорные jcc, только к этой статье они не имеют отношения.

ELF_7719116 пишет:
По крайней мере если отвязать зависимость защиты от нулевого кольца можно более комфортно работать.
Для этого нужно восстановить код из виртуальной машины, одной идой этого не сделать.

ELF_7719116 пишет:
hc.dll и protect.dll имеют сходство
DLL может по разному называться, если разрабы не поленились.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

ELF_7719116 пишет:
Кстати, кто нибудь дебажил Solid Shield(Tages SA) v 1.x (ведьмак ей защищен) ? hc.dll и protect.dll имеют сходство, по крайней мере "шкурка" точно
Как бэ не просто так они имеют сходство Внутри также похожи.. Почему думаю понятно)

| Сообщение посчитали полезным:

PE_Kill
Докажите тогда эт Microsoft^у, а то они не знают и их сишный компилер при оптимизации по скорости
i++;
компилит в
INC [REG32]

Одним словом, хватит.

По поводу ВМ в старфорсе ничего не могу сказать... т.к. на данный момент видел изнутри только ВМ секурома 7.3х

| Сообщение посчитали полезным:

[Nomad] пишет:
ELF_7719116 пишет:Кстати, кто нибудь дебажил Solid Shield(Tages SA) v 1.x (ведьмак ей защищен) ? hc.dll и protect.dll имеют сходство, по крайней мере "шкурка" точно Как бэ не просто так они имеют сходство Внутри также похожи.. Почему думаю понятно)

Видать вы ни стара ни солида не видели. Я сходства не нашел вм другие работа тоже ... (см. топик о солиде) И почему вам кажется что внутри они похожи непонятно... Стар написан у нас, а солид французами, сходство в том что используется длл и краденые функции перенапрвавлены в длл, работа самой же вм совсем другая и обфускация кода и поддержка инструкций и работа с контекстом.


ELF_7719116 пишет:
Докажите тогда эт Microsoft^у, а то они не знают и их сишный компилер при оптимизации по скоростиi++;компилит вINC [REG32]Одним словом, хватит.

Вот вот хватит троллить ибо INC DEC медленней, вы хоть сами пробовали компилить?

Оптимизация по скорости VS2008:


| Сообщение посчитали полезным:

V0ldemAr пишет:
И почему вам кажется что внутри они похожи непонятно... Стар написан у нас, а солид французами, сходство в том что используется длл и краденые функции перенапрвавлены в длл, работа самой же вм совсем другая и обфускация кода и поддержка инструкций и работа с контекстом.
Мы о каком солиде говорим ? 1.хх или 2.0 ?
Люди приложившие руку к стару приложили её же и к солиду.

| Сообщение посчитали полезным:

завязывайте уже давайте с солидами, секуромами...а то и эту тему закроют. лучше бы делились опытом, наработками, обсуждали бы что-нить по теме, а вы всё ругаетесь, ай-яй-яй.

[Nomad] пишет:
Люди приложившие руку к стару приложили её же и к солиду.
У них странные взаимоотношения, старфорс обоими руками за tages и вместе с ним и за солид. (и эта любовь у них взаимна) зато и те и другие просто ненавидят секуром - вроде как бы он пытается их обидеть изо всез сил и перебраться на наш рынок...вообщем там всё сложно.

| Сообщение посчитали полезным:

ELF_7719116 пишет:
Одним словом, хватит.
Точно, хватит говорить то в чем не уверен. Зачем то еще компиляторы приплел. Банально делаешь два бенчмарка и разбиваешь доводы в пух и прах, а так действительно на троллинг похоже.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

есть игрушка frikky holiday помоему называется, 2001 года, там protect.dll без мусора, разработчики не меняют свои принципы и в следующих версиях.

| Сообщение посчитали полезным:

[Nomad] пишет:
Мы о каком солиде говорим ? 1.хх или 2.0 ?Люди приложившие руку к стару приложили её же и к солиду.

О 1.хх:

1.9.4 - hc.dll ( Witcher, Sudden Strike 3 )
1.9.6 и выше - dvm.dll

есть различия даже в этих версиях но не настролько велики как в версии 2.0 в которой уже новая вм (слабее кстати что весьма странно)

Хочешь сказать что у тебя есть информация о том что люди писавшие стар помоголи написать солид?

| Сообщение посчитали полезным:

1.9.4 - hc.dll ( Witcher, Sudden Strike 3 )
Самая "ядренная" версия.

1.9.6 и выше - dvm.dllесть различия даже в этих версиях но не настролько велики как в версии 2.0 в которой уже новая вм (слабее кстати что весьма странно)
Такое чуство что спешили и выпустили версию 2.0 на рынок недоделанной, это не тот солид что был раньше.

Хочешь сказать что у тебя есть информация о том что люди писавшие стар помоголи написать солид?
да

| Сообщение посчитали полезным:

новый солид (2.0) в плане вм слабее в разы. сравните хотя бы размеры 1.96 ~ 100mb, 2.0 ~ 3mb (nfshp) да и что то скейгенили его за пару дней в отличае от старого. насчёт стара никто не заметил что в самых последних версиях код стал почти открытым, только мусорных секций увеличилось раз в 5? да и снова дамп вм открылся

| Сообщение посчитали полезным:

ThugboyZ пишет:
новый солид (2.0) в плане вм слабее в разы. сравните хотя бы размеры 1.96 ~ 100mb, 2.0 ~ 3mb (nfshp)
Размер неважен. Вон вмпрот к примеру не раздувает файл на мегабайты.
ThugboyZ пишет:
насчёт стара никто не заметил что в самых последних версиях код стал почти открытым, только мусорных секций увеличилось раз в 5? да и снова дамп вм открылся
Он и не закрывался. Не знаю с чего вы решили что новый стар легче дампить.

| Сообщение посчитали полезным:

ThugboyZ, и к чему твой пост? Размер меньше? Как уже сказано абсолютно не показатель. Вм солида не обфусцирована, но полно дупликатов хандлеров и пикод раздут. К примеру у стара простой mov 6, у солида 9 байт пикода.
У стара код открылся? Ну-ну, выдерни хотя бы пару инструкций из под вм или сделай дамп, а потом поделись со всеми опытом.

| Сообщение посчитали полезным:

[Nomad]
фактически да, но на практите это было почти невозможно.

| Сообщение посчитали полезным:

Стар реально дампить, инлайнить, генить. Но дамп некрасив и его тяжело делать. Новый стар от старого отличен только обфускацией. Сделано это против сигнатур. Вот и все.

| Сообщение посчитали полезным:

Сталобыть лет через 5 стар и в аспр обфускацию добавит

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Она была. Ее изменили просто

| Сообщение посчитали полезным:

Обфускации там не было никогда. Были заморфленые куски небольшие их теперь в вм убрали, но сама библиотека никогда не обфусцировалась.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: andrewDK

... В библиотеке непосредственно нету ничего такого для обфускации - То как IsDebuggerPresent один вызывается так и вызывался и в реестре softice чекается ну и девайсиоконрол для драйверов уже не секрет. Есть смысл только вм от домогательств защищать.

| Сообщение посчитали полезным:

для меня обфускация код вида

сейчас стало

т е стали использовать регистры как переменные вм

| Сообщение посчитали полезным:

Не, это не обфускация. Просто что то переписали и Delphi компилятор такой код скомпилил. Именно так они и константы все в вм в каждом билде меняют, инклуд перегенеривают и компилят вот вам и новая версия. Не ожидал от старфорца такого расп*ва. При солоде хоть прогресс видно было.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Ну недавно нарастили антидамп. Стали проверять пид и версию винды напрямую из пеб. Добавили новые проверки крк через фейковые калл. Работа кипит). А куча исключений не проблема, достаточно добавить игнор их.

| Сообщение посчитали полезным:

Nightshade ты про аспр говоришь или про стар? То что ты описал явно не аспр, а если он то значит изменения настолько незаметны, что я даже и не увидел их.

адд. Вот кусок вм самого последнего аспра, как дергались апи так и дергаются:


-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Влезу) Посты Nightshade о старфорсе.

| Сообщение посчитали полезным:

PE_Kill пишет:
Сталобыть лет через 5 стар и в аспр обфускацию добавит

Сталобыть он недопонял мой пост. Если вдруг кому еще непонятно, то я имел ввиду, что после покупки старфорцем ASPack Software какое либо развитие ASProtect как протектора остановилось.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Nightshade пишет:
А куча исключений не проблема, достаточно добавить игнор их.
ну со всем с тобой согласен, ну прям со всем, но только не с этим если таргет найду - кину те, посмотришь на кучку эксепшнов.

| Сообщение посчитали полезным:

Nightshade пишет:
А куча исключений не проблема, достаточно добавить игнор их.

Ваше счастье, что не все девелоперы пользуются правильной кучей.

| Сообщение посчитали полезным: