Obsidium - eXeL@B

Сейчас на форуме: (+7 невидимых)

<< . 1 . 2 .

Посл.ответ	Сообщение
Nightshade Ранг: 241.9 (наставник), 107thx Активность: 0.14↘0.01 Статус: Участник	Создано: 20 октября 2009 08:33 · Личное сообщение · #1 Кто-нибудь может дать небольшой ехе накрытый последней версией со всеми опциями, включая вм?

OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 05 ноября 2009 00:33 · Личное сообщение · #2 Nightshade пишет: У кого-нибудь есть таблица соответствия CallMark - 2B078A08 getCustomValue - 61C57E05 getLicenseHash - 575D9AB4 getLicenseStatus - 64D3D6DB getRegInfo - 63C1A0A1 getSystemID - B7A91980 getTrialDays - D3231926 getTrialRuns - B8FD9E5F getInitialTrialDays - 2EDEE513 getInitialTrialRuns - 4500626A isRegistered - 4EC72EC2 setExternalKey - D5D7FD6D getLicenseExpiration - 2F525D92 setLicense - C5A31F97 setLicenseShort - 4806C35D storeLicense - 05F1BC90 storeLicenseShort - 013A8436 deleteTrialData - 26681E88 getExpirationDate - 04464F7F deleteLicenseData - 683E5523 disableLicense - FDD5A966 isProtected - 55E6D975 ----- 127.0.0.1, sweet 127.0.0.1
r99 Ранг: 328.7 (мудрец), 73thx Активность: 0.17↘0.01 Статус: Участник	Создано: 09 ноября 2009 10:41 · Личное сообщение · #3 а на этой -http://cdroller.swmirror.com/CDRoller860_en.exe- какая версия обсида сидит?
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 09 ноября 2009 12:34 · Личное сообщение · #4 Просьба ко всем поделиться ссылками на проги под обсидом. Про Bulk Image Downloader уже знаю. Где ещё он висит?
bbuc Ранг: 39.2 (посетитель), 16thx Активность: 0.02↘0 Статус: Участник	Создано: 09 ноября 2009 12:49 · Личное сообщение · #5 Oront Burning Kit -> oront.com
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 09 ноября 2009 13:56 · Личное сообщение · #6 www.shark-media.ru/ - владельцы лицензионного обисида, и всегда свежие версии вешают на свои продукты. В последних версиях их прог появилась виртуалка ----- Research For Food
glsystem Ранг: 0.8 (гость) Активность: 0=0 Статус: Участник	Создано: 09 ноября 2009 18:26 · Личное сообщение · #7 bolidesoft.com - не уверен что там сейчас обсидиум, но в последний раз когда эти программы смотрел он там был.
Djeck Ранг: 196.0 (ветеран), 72thx Активность: 0.14↘0.02 Статус: Участник	Создано: 10 ноября 2009 10:07 · Личное сообщение · #8 progopis Bulk Image Downloader Servicemp CarServiceMP All My Movies (с виртуалкой) All My Books (без виртуалки) Net Chess (крипт по ключу) TeraCopy (с криптом по ключу)
OKOB Ранг: 527.7 (!), 381thx Активность: 0.16↘0.09 Статус: Участник Победитель турнира 2010	Создано: 10 ноября 2009 13:00 · Личное сообщение · #9 r99 пишет: какая версия обсида сидит? 1.4.0.5 ----- 127.0.0.1, sweet 127.0.0.1
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 04 марта 2010 16:54 · Личное сообщение · #10 Подскажите, откуда Obsidium берет адреса ntdll функций или он предполагает что эти адреса у всех одинаковые? И что за функция ZwContinue (не могу найти описание). ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 05 марта 2010 00:08 · Личное сообщение · #11 ZwContinue это продолжение работы программы после обработки исключения. Вообще-то это системный вызов. Адреса ntdll скорее просто функции из kernel32.dll, которые являются переходниками на ntdll (не помню как грамотно это называется). Вообще ваш вопрос не очень понятен.
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 05 марта 2010 18:35 · Личное сообщение · #12 Импорт форвардинг называется. И очень вряд ли, что предполагает, что одинаковые. Прозевал скорее.
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 09 марта 2010 11:20 · Поправил: gena-m · Личное сообщение · #13 Подскажите, обсид ворует ОЕР, а то у меня получилось: Code: 006C1A4A > 5D POP EBP 006C1A4B . C3 RETN 006C1A4C 4C DB 4C ; CHAR 'L' 006C1A4D 50 DB 50 ; CHAR 'P' 006C1A4E E7 DB E7 006C1A4F 8B DB 8B 006C1A50 96 DB 96 006C1A51 52 DB 52 ; CHAR 'R' 006C1A52 D4 DB D4 006C1A53 E0 DB E0 006C1A54 30 DB 30 ; CHAR '0' 006C1A55 E4 DB E4 006C1A56 6E DB 6E ; CHAR 'n' 006C1A57 6D DB 6D ; CHAR 'm' 006C1A58 5B DB 5B ; CHAR '[' 006C1A59 75 DB 75 ; CHAR 'u' 006C1A5A F9 DB F9 006C1A5B A6 DB A6 006C1A5C F3 DB F3 006C1A5D 5E DB 5E ; CHAR '^' 006C1A5E 5C DB 5C ; CHAR '' 006C1A5F 13 DB 13 006C1A60 B5 DB B5 006C1A61 93 DB 93 006C1A62 5A DB 5A ; CHAR 'Z' 006C1A63 F7 DB F7 006C1A64 > $ E8 4F69D4FF CALL Dumped.004083B8 <b>вышел сюда</b> 006C1A69 . 33C0 XOR EAX,EAX 006C1A6B . 55 PUSH EBP программа: Bulk Image Downloader так вроде сдесь все сходится - 24 максимум байта сперто, идет вызов 006C1A64 > $ E8 4F69D4FF CALL Dumped.004083B8 и написана, если верить анализатору на борланде делфи. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 09 марта 2010 11:46 · Личное сообщение · #14 gena-m пишет: Подскажите, обсид ворует ОЕР Если и ворует то как правило только борладовских прогах и очень скромно, байты до первого кэлла
theCollision Ранг: 271.5 (наставник), 12thx Активность: 0.15↘0 Статус: Участник Packer Reseacher	Создано: 09 марта 2010 13:50 · Личное сообщение · #15 >>Если и ворует то как правило только борладовских прогах и очень скромно, байты до первого кэлла шо, настолько "крут" протектор шо даже оеп не может комуниздить? ----- My love is very cool girl.
BoRoV Ранг: 533.6 (!), 232thx Активность: 0.45↘0 Статус: Uploader retired	Создано: 09 марта 2010 13:55 · Личное сообщение · #16 theCollision пишет: шо, настолько "крут" протектор шо даже оеп не может комуниздить? в мс вс первой инструкцией на еп есть CALL, а обсид пиздит до первого, и потому тут нечего пиздить ----- Лучше быть одиноким, но свободным © $me
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 09 марта 2010 13:56 · Личное сообщение · #17 theCollision пишет: шо, настолько "крут" протектор шо даже оеп не может комуниздить? а оно ему надо? Самый тупой трик у протов.
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 09 марта 2010 15:41 · Личное сообщение · #18 BoRoV пишет: в мс вс первой инструкцией на еп есть CALL до семерки было что красть Обсид заточен под борланд как в прочем и многие други проты. Gideon Vi пишет: Самый тупой трик у протов. +1
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 09 марта 2010 18:04 · Личное сообщение · #19 Подскажите в общих чертах, как импорт восстанавливать, а то получается: Code: 004082F4 $- FF25 40BE6D00 JMP DWORD PTR DS:[6DBE40] 004082FA 8BC0 MOV EAX,EAX 004082FC $- FF25 3CBE6D00 JMP DWORD PTR DS:[6DBE3C] 00408302 8BC0 MOV EAX,EAX 00408304 $- FF25 38BE6D00 JMP DWORD PTR DS:[6DBE38] 0040830A 8BC0 MOV EAX,EAX 0040830C $- FF25 34BE6D00 JMP DWORD PTR DS:[6DBE34] по этим адресам лежит импорт Code: 006DBE40 6E 03 3E 00 7B 03 3E 00 88 03 3E 00 95 03 3E 00 n>.{>.€>.•>. 006DBE50 A2 03 3E 00 AF 03 3E 00 BC 03 3E 00 C9 03 3E 00 ў>.Ї>.ј>.Й>. 006DBE60 D6 03 3E 00 E3 03 3E 00 F0 03 3E 00 FD 03 3E 00 Ц>.г>.р>.э>. 006DBE70 0A 04 3E 00 17 04 3E 00 24 04 3E 00 31 04 3E 00 .>.>.$>.1>. 006DBE80 3E 04 3E 00 4B 04 3E 00 58 04 3E 00 65 04 3E 00 >>.K>.X>.e>. в дампе эти адреса смотрят в небо, подскажите как одно связать с другим? ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
pavka Ранг: 1045.7 (!!!!), 31thx Активность: 0.57↘0 Статус: Участник	Создано: 09 марта 2010 19:42 · Личное сообщение · #20 gena-m пишет: в дампе эти адреса смотрят в небо Так прежде чем дампить посмотри куда они смотрят мож и увидешь чего
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 20 марта 2010 10:51 · Поправил: gena-m · Личное сообщение · #21 Наткнулся на несколько функций, при которых обсид не обращается к API. Получается он сам эмулирует некоторые API функции ? Понял спасибо. GetCommandLineA - нашлась. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
Nightshade Ранг: 241.9 (наставник), 107thx Активность: 0.14↘0.01 Статус: Участник	Создано: 20 марта 2010 11:14 · Личное сообщение · #22 GetVersion GetCommandLineA lstrlenA GetCurrentProcess GetCurrentProcessId Это он вроде мулит)
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 28 марта 2010 15:59 · Личное сообщение · #23 Получается что нужно самому вбивать разделители между библиотеками, отсортировать все перемешанные функции из разных библиотек и поперестраивать джампы ? ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 28 марта 2010 16:08 · Личное сообщение · #24 gena-m пишет: нужно самому вбивать разделители между библиотеками вроде того P.S. Я наконец-то добил проблему анти-отладки. Надо выставить флаг ZwOpenProcess, чтобы обсид не смог читать из памяти ольки и детектить её. Есть ещё вариант поправить структуру VS_VERSION в ресурсах ольги. Остальная анти-отладка детство.
gena-m Ранг: 87.8 (постоянный), 10thx Активность: 0.07↘0 Статус: Участник	Создано: 28 марта 2010 16:40 · Личное сообщение · #25 А какая проблема с анти-отладкой ? Я поставил Фантом с всключенными первыми двумя опциями и при трассировке еще включал GetTickCount и никаких проблем. ----- Надежда - есть худшее из зол, ибо она продлевает наши страдания.© Ф. Ницше
progopis Ранг: 101.0 (ветеран), 344thx Активность: 1.15↘0 Статус: Участник	Создано: 28 марта 2010 17:23 · Личное сообщение · #26 gena-m Я не знаю от чего это зависит, но одни и те же сборки ольки (а значит и настройки) на разных компах либо справляются с анти-отладкой, либо нет. У меня и у takerZ'а отлаживать файлы со включенной анти-отладкой нельзя было. Причину я нашёл, почему системно зависимая - не разбирался.

<< . 1 . 2 .

Для печати