Кто-нибудь может дать небольшой ехе накрытый последней версией со всеми опциями, включая вм?

| Сообщение посчитали полезным:

а кого-нибудь демо версия с их сайта работает?

просто у меня рантайм ошибку выдает при создании проекта

| Сообщение посчитали полезным:

Ща соберу поделку.

| Сообщение посчитали полезным:

Nightshade
По ходу нет там ВМ в деме. Сделал пошифрованный код.

071e_20.10.2009_CRACKLAB.rU.tgz - proteted.exe

| Сообщение посчитали полезным:

BoOMBoX
У них на офф.сайте написано

Functional limitations of the evaluation version:
No loading and saving of project files
Code virtualization is disabled

progopis пишет:
Ну и причём здесь это? Там же не сказано что рантайм ерроры это тоже ограничение демы
сам не смотрел, но почему бы и нет, если покриптовано по ключу

| Сообщение посчитали полезным:

tihiy_grom
Ну и причём здесь это? Там же не сказано что рантайм ерроры это тоже ограничение демы. Кстати я тоже ловил. Говнософт...

| Сообщение посчитали полезным:

tihiy_grom

Что у них на сайте написано я знаю, я вопрос конкретный задал, работает ли демка вообще.

P.S.
Сырой продукт, зачем релизить такое, не понятно.
Вряд ли кто-то возьмется протектить таким г. свой софт, я бы не решился, эт точно.

| Сообщение посчитали полезным:

tihiy_grom пишет:
почему бы и нет
В деме не должно быть никаких выпадов (мы сейчас не про дамп говорим, сделанный во время снятия прота, а про полноценную программу с которой будут работать люди), дема показывает как будет работать полноценный продукт, слегка ограничивая возможности защиты.

| Сообщение посчитали полезным:

Посмотрел новый обсид. Проход до оеп почти не изменился, зато теперь нельзя прибивать второй тред, а это сильно мешает. изменилась защита динамического импорта- обсид теперь копирует начало апи в свой код и передает управление на него. При копировании проверяет на бряки. Защита жел. бряков не работает. Старые скрипты теперь не работают. Придется писать новые.

| Сообщение посчитали полезным:

Кто-нибудь может подсказать как искать начало иат? Ну и конец было бы неплохо. Подозреваю что копать нужно в сторону loadlibrarya. За что отвечает второй трэд? Можно ли его прибить?

| Сообщение посчитали полезным:

Nightshade пишет:
как искать начало иат?
посмотреть в движке в таблице
003A0A08 00349170 <------не заплненая
003A0A0C 00001190
003A0A10 00000000
003A0A14 000001BC
003A0A18 00000000
003A0A1C 00000001
003A0A20 00349170
003A0A24 00000278
003A0A28 00000000
003A0A2C 00000000
003A0A30 00000002
003A0A34 00000003
003A0A38 00349188
003A0A3C 00000280
003A0A40 00000000
003A0A44 000001C7
003A0A48 00000000
003A0A4C 00000001
003A0A50 003491A0
003A0A54 00000298
003A0A58 00000000
003A0A5C 000001D4
003A0A60 00000000
---
003A0A58 00349170<-- заполненая
003A0A5C 00001190
003A0A60 5D300000 OFFSET Hhctrl.Ordinal10
003A0A64 FFFFFFFF
003A0A68 00000000
003A0A6C 00000000
003A0A70 00000000
003A0A74 00000278
003A0A78 00000000
003A0A7C 00000000
003A0A80 00000002
003A0A84 00000000
003A0A88 00000000
003A0A8C 00000280
003A0A90 76C80000 IMAGEHLP.76C80000
003A0A94 FFFFFFFF
003A0A98 00000000
003A0A9C 00000000
003A0AA0 00000000
003A0AA4 00000298
003A0AA8 77DC0000 ADVAPI32.77DC0000
003A0AAC FFFFFFFF
003A0AB0 00000000
003A0AB4 00000000
003A0AB8 00000000
003A0ABC 000002A0
003A0AC0 7C800000 KERNEL32.7C800000
003A0AC4 FFFFFFFF
003A0AC8 00000001
003A0ACC 00000000
003A0AD0 00000000
003A0AD4 00000308
003A0AD8 77BF0000 VERSION.77BF0000
003A0ADC FFFFFFFF
003A0AE0 00000000
003A0AE4 00000000
003A0AE8 00000000
003A0AEC 000007F0
003A0AF0 773C0000 OFFSET COMCTL32.Ordinal250
003A0AF4 FFFFFFFF
003A0AF8 00000000
003A0AFC 00000000
003A0B00 00000000
003A0B04 00000820
003A0B08 76380000 COMDLG32.76380000
003A0B0C FFFFFFFF
003A0B10 00000000
003A0B14 00000000
003A0B18 00000000
003A0B1C 00000910
003A0B20 77F10000 GDI32.77F10000
003A0B24 FFFFFFFF
003A0B28 00000000
003A0B2C 00000000
003A0B30 00000000
003A0B34 00000920
003A0B38 76350000 MSIMG32.76350000
003A0B3C FFFFFFFF
003A0B40 00000000
003A0B44 00000000
003A0B48 00000000
003A0B4C 00000C00
003A0B50 7C9C0000 OFFSET SHELL32.Ordinal517
003A0B54 FFFFFFFF
003A0B58 00000000
003A0B5C 00000000
003A0B60 00000000
003A0B64 00000C08
003A0B68 77D30000 USER32.77D30000
003A0B6C FFFFFFFF
003A0B70 00000000
003A0B74 00000000
003A0B78 00000000
003A0B7C 00000C30
003A0B80 76B20000 WINMM.76B20000

| Сообщение посчитали полезным:

pavka
Ты сам смотрел что написал?
Ниже скриншот таблицы что ты привел. Из него видно, что адреса импорта
мало связаны с этой таблицей. Таблица вроде используется при вызове апи, но мне это ничего не даст
кроме списка загруженных длл и списка служебных функций.

ceab_22.10.2009_CRACKLAB.rU.tgz - obsid.rar

| Сообщение посчитали полезным:

Nightshade пишет:
Ты сам смотрел что написал?
да я то смотрел , ты посмотри внимательно
00349170 + 400000=00749170== начало иат и далее по тексту, если у тебя та же версия файла , но суть не меняет адреса примерно рядом
Сотответственно по этой табличке пишется вторая таблица с хешами ну и заполняется иат

| Сообщение посчитали полезным:

Nightshade пишет:
обсид теперь копирует начало апи в свой код и передает управление на него
Так это и раньше было.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным:

Bronco пишет:
Так это и раньше было
+1

P.S. Надеюсь скоро сделаем unpackme со всеми опциями.

| Сообщение посчитали полезным:

progopis
Ты этот код прятал под крипт?(аттач)
В новом импорте изменился тип 80 и 40. Но их легко подправить как я узнал.
Но при трейсе импорта прога часто падает. Надо поискать причину.
У кого-нибудь есть таблица соответствия
CMP EAX,4ec72ec2 IsRegistered
CMP EAX,63c1a0a1
CMP EAX,d5d7fd6d
CMP EAX,B7A91980 -> getSystemID
CMP EAX,c5a31f97
CMP EAX,4806c35d
CMP EAX,05f1bc90 -Checkkey
CMP EAX,d3231926 getTrialDays
CMP EAX,B8FD9E5F getTrialRuns
CMP EAX,4464F7F
CMP EAX,2EDEE513 GetCustomValue
CMP EAX,4500626A
CMP EAX,2F525D92 -> getLicenseExpiration
CMP EAX,13A8436 setLicenseShort
CMP EAX,61C57E05 -> getCustomValue
CMP EAX,575D9AB4
CMP EAX,64D3D6DB GetRegMode
CMP EAX,26681E88
CMP EAX,683E5523
CMP EAX,FDD5A966
CMP EAX,55E6D975


66a2_22.10.2009_CRACKLAB.rU.tgz - progopis.rar

| Сообщение посчитали полезным:

Приципильно ни чего не изменилось , вернули опять поксореные функи

| Сообщение посчитали полезным:

Поксоренные функи это тип 6?

| Сообщение посчитали полезным:

Nightshade пишет:
Ты этот код прятал под крипт?
Именно. Я думал он ключом шифроваться будет

| Сообщение посчитали полезным:

С ключом ты ошибся- это обычный крипт. С импортом я разобрался. Но по коду есть такие места: mov reg, переходник
Nop
Call reg.
A должно быть mov reg, [api]
Call reg. Пока не знаю как с этим бороться. Думаю нужно во время заполнения второй таблицы подсунуть реальные адреса апи, тогда возможно будет норм. Но если обсид забъёт адреса апи вместо адресов переходников, то это будет работать на одной системе. И то через раз...

| Сообщение посчитали полезным:

Nightshade
А ты понял что за мессага выдаётся с цифрами? Там код надеюсь обфусцирован хоть как-то...

| Сообщение посчитали полезным:

progopis
Посмотри эти 2 файла

8a06_22.10.2009_CRACKLAB.rU.tgz - unpack.rar

| Сообщение посчитали полезным:

Nightshade пишет:
Но при трейсе импорта прога часто падает.
А зачем треисить импорт? Таблицу иат легко заполнить при заполнении протом таблички, кроме нулевых их всего две
lstrlen
FreeResource
013E1164 00000200
013E1168 00000000
013E1384 00001000
013E1388 00000000
Остальные все не зависимо от типа, обрабатываются GPA прота . Ставишь проверку на ноль и пускаешь через GPA прота

| Сообщение посчитали полезным:

Nightshade
Ясно. Крипт только там где маркер поставил. Оба файла не пашут. Импорт правильный:



| Сообщение посчитали полезным:

Obsidium рьяно занялись либо улучшением, либо латанием дыр. На начало октября была версия 1.4.0.1, а теперь уже 1.4.0.5. Истории изменений нет. Может кто в этот период с хомяка тянул обсид - интересует для исследования версии 1.4.0.3, 1.4.0.4.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB пишет:
Obsidium рьяно занялись либо улучшением

Видимо эта ветка подстегнула, она ведь тоже в октябре создана...

| Сообщение посчитали полезным:

Если не трейсить импорт а заполнять перед оеп, то в нём часто ошибки. И это не эти 2 функции.

| Сообщение посчитали полезным:

Nightshade пишет:
а заполнять перед оеп, то в нём часто ошибки
надо чекать последние три байта тогда не будет заполнять неправильными
Nightshade пишет:
И это не эти 2 функции.
lstrlen и VirtualQuery

| Сообщение посчитали полезным:

Для разбора импорта Обсида 1.4 моя консольная приблуда (только что наваял).

Взял кусок своего стрипера (в процессе).

1й параметр - файл дампа хэш функции
2й параметр - файл дампа внутреней информации обсида об импорте

в архиве програмуля и два комплекта дамп-файлов (от самого обсида 1.4.0.1 и поделки от progopis).
Для облегчения 2 батника.

1f04_03.11.2009_CRACKLAB.rU.tgz - Obs_import.RAR

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB пишет:
Истории изменений нет.
1.4.0.1
- fixed runtime patching issue

1.4.0.2
- add multiple files at once (right-click file list)
- minor time trial fix
- added some integrity checks
- some internal changes and fixes
- removed 'don't relocate image' option (implicitly enabled from now on)
- fixed internal error 0B when appending data to protected executables

1.4.0.3
- fixed a bug that could accidentally set a fixed expiration date
- internal changes

1.4.0.4
- fixed time trial functionality for DLLs

1.4.0.5
- fixed access violation in demo version

1.4.0.6
- added Delphi/BCB 3rd-party compatibility option

1.4.0.7
- support for executables having more than 256 import table entries
- improved Delphi/BCB 3rd-party compatibility option
- fixed runtime patching for Delphi/BCB apps using runtime packages

| Сообщение посчитали полезным: