DYAMAR OBFUSCATOR

Complete and easy to use Anti-Reverse Engineering Toolkit.
Hides and obfuscates private algorithms implemented in any
Windows application. Modifies x86 assembly language to
make the application structure incomprehensible.
www.dyamar.com/trial/DYAMARObfuscatorTrialSetup.exe

| Сообщение посчитали полезным:

VM_prot одуванчик, по сравнению с DYAMAR OBFUSCATOR(Full)

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

А есть в свободном доступе full?

PS: Попробовал запротектить файло, но обфускатор упал

Добавлено

Дома проверил работает

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

=) интересно , купить можно 25 баксов , скинуться по 5 кому интерсно и купить , хотя рано или поздно появится в сети .. на сайте не так уж и много сказано , интереснее смотреть в живую ... судя по примерам там тэмплэйты всеравно используются помимо графа ...обратная задача возможна , интересно а исключения есть сеховые ...

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

Как и у любого generic обфускатора, обфускация не стойкая (опять детишки взялись за обфускацию):

; не вызывают исключений, не меняют флаги:
1. mov ebx, ebx
2. lea esi, [esi]
3. xchg ebp, ebp
; FPU
wait
; Jcc в качестве NOP
jnz short $+2
; двойной обмен значений регистров через игры со стэком (может быть опасно)
1.
xchg eax, edi
mov [esp-0F00h], edi ; может возникнуть Access violation
mov edi, eax
mov eax, [esp-0F00h]
2.
xchg eax, ebp
push ebp
mov ebp, eax
pop eax
3.
mov [esp-0F00h], eax
mov eax, [esp-0F00h]
; двойной NOT (не меняет флаги, не вызывает исключений)
not edx
not edx
; JMP через мусор (безопасное удаление при отсутствии ссылок на мусор)
E9 03 00 00 00 00 00 90 ; величайшая дурость делать длинный прыжок - это сразу палится
; затирание стэка всякой фигнёй
1. mov word ptr [ebp-21Ch], cs
2. mov word ptr [ebp-240h], ds
3.
pushf
pop dword ptr [ebp-218h]
4. mov dword ptr [ebp-728], 10001h

Вот скрипт (небезопасный) который может убрать почти всё в демке:



Если же делать по-умному (с анализом кода, чтобы шаблоны не повредили данные/код), то даже самый гнилой деобфускатор уберёт всё разом.

ClockMan пишет:
VM_prot одуванчик
Отличная трава.

mak пишет:
=) интересно
как всегда, в общем-то

Забавно, что на сам прот обфускатор повесить забыли.

| Сообщение посчитали полезным:

int пишет:
Забавно, что на сам прот обфускатор повесить забыли.
Ну наверно понимают, что толку от него 0

| Сообщение посчитали полезным:

ничего интересного, с первых же шагов можно набить с 10 шаблонов, у аспра и то повкуснее код

| Сообщение посчитали полезным:

Понаобещал автор всего, в демке 20-30% проивзодительность,
а в про версии будет 100% с трудом верится. В любом случае нужно ждать про версию.
Цена по отношению к арме, темиде - копейки, но не знаю стоит ли она своих денег!?

-----
Gutta cavat lapidem. Feci, quod potui. Faciant meliora potentes

| Сообщение посчитали полезным:

a little bird told me he was looking for someone to buy the source code...

| Сообщение посчитали полезным:

int_256 пишет:
с первых же шагов можно набить с 10 шаблонов
Шаблоны использовать это ламерство. Гораздо лучше создать плуг для ольги, который поможет не только с этим недопротом.

Coderess пишет:
но не знаю стоит ли она своих денег!?
Может и стоит, в данном случае снять обфускацию не значит снять протектор. Оригинальную структуру файла восстановить не просто. В будущих версиях наверняка начнёт писать пакер и/или ВМ. И в полной версии есть вот это:
Instructions mutation
Если верить скриншоту, то может и не всё так плохо.

| Сообщение посчитали полезным:

int Демку заломать это круто

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockMan
Сравнивать вмпрот с говном на палочке это не круто.

P.S. Не понимаю чего народ испугался скриншотов на странице www.dyamar.com/product.html . Автор не профессионал, если для него более важно сделать красивый дизайн сайта и все эти гламурные картиночки, вместо того чтобы приложить листинги IDA реально "красивых" примеров обфускации. Я не думаю, что скрины из IDA были даны из демки, а в них я ничего не увидел интересного. Проект который появился только что, вряд ли можно сравнивать с вмпротом, который писался годами, и кстати на первых порах тоже был жалкой игрушкой (но уже тогда требовал скриптов или создания инструмента).

| Сообщение посчитали полезным:

Натравил на файло - обычный hello world. почему-то по адресу 00401000h первые 19h полезных байт затёрлись всяким мусором....из-за этого весь смысл замечательного повествования был утерян....да и ваще убого как-то. не стоит это даже 25 баксов.....один только интерфейс вытягивает на то, чтобы впарить сей продукт какому-нибудь обворожительному нубу.


обфускатор.......сильно!

| Сообщение посчитали полезным:

>>сей продукт какому-нибудь обворожительному нубу.
Так ради этого и делается продукт. Кто разбирается в защите Все делает сам, на уровне исходников.

P.S. Хотя все равно ключ утечет (пример Hiew и artmoney).

| Сообщение посчитали полезным:

SWR
солид и старфорс это не для нубов, так что не очень удачное заявление

В любом случае не полный нуб зайдёт сюда, на креклаб, увидит комментарии и сделает выбор в пользу нормальных протекторов.

| Сообщение посчитали полезным:

ок

| Сообщение посчитали полезным:

Ух ты, автор соотечественник.

dyamar
Можно ли глянуть файлик с PRO-версией? Публично комментировать не буду.

| Сообщение посчитали полезным:

dyamar пишет:
Все недочеты просьба сообщать
ога, вот так общими усилиями и сделаем ему нормальный обфускатор
за который он будет(наверное) получать деньги

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным:

ок

| Сообщение посчитали полезным:

Я же не сам обфускатор прошу, а обычный блокнот, на котором будет висеть PRO-версия протектора. На счёт говна на палочке, я лишь имел в виду, что вмпрот даже демо-версии нельзя сломать скриптом, который пишется за 10 минут. Проект слишком молодой, чтобы сравнивать эти два протектора (ваш и тот, который писался годами).

| Сообщение посчитали полезным:

ок

| Сообщение посчитали полезным:

фубля, даже codedoctor без проблем расчистил это говно


-----
SaNX

| Сообщение посчитали полезным:

SaNX пишет:
даже codedoctor
Фубля, выкиньте доктора. Не забываем, что проект на элементарных ловушках ломает функционал.

Ну другое дело, скриптами тут уже не разрулишь. Например, здесь требуется трассировка:

Вот это ещё можно убрать скриптами:


Что за любовь к числу 0xF00? Такие вещи тоже слишком палятся. Небольшое разнообразие бы не помешало. На эту же тему:

Опять же плохо. Скрипту скормят шаблон, а в нормальном коде программы такое не встретится. Хотя бы вставлять между двумя инструкциями другие NOP-подобные операции разной длины. Пример:

Скрипту такое уже не скормишь. Устанешь шаблоны и правила набивать.

Удачи проекту. Комментировать больше не буду.

| Сообщение посчитали полезным:

ок

| Сообщение посчитали полезным:

SaNX
жжошь))
Деобфускация и лечение после доктора:

push 70h ; функционал сломан - говорим спасибо доктору, за то что убрал "лишнюю" инструкцию
; правильно, нахуй она?
PUSH 010015E0
CALL calc_Obf.010127C8
;MOV DWORD PTR SS:[ESP-F00],EAX ; долбоёб детектед - функционал сломан (неправильно удалена инструкция "xchg eax, edi")
;MOV EAX,EDI
;MOV EDI,DWORD PTR SS:[ESP-F00]
;MOV EBX,EAX
XOR EBX,EBX
;MOV DWORD PTR SS:[ESP-F00],EDI ; опять поломка функционала
;MOV EDI,ECX
;MOV ECX,DWORD PTR SS:[ESP-F00]
PUSH EBX
;WAIT
;MOV EAX,EDI ; и снова поломка функционала
MOV EDI,DWORD PTR DS:[<&KERNEL32.GetModu>; kernel32.GetModuleHandleA
;WAIT
;MOV DWORD PTR SS:[ESP-F00],ECX
;MOV ECX,EBX
;MOV EBX,DWORD PTR SS:[ESP-F00]
;XCHG EAX,ECX
;XCHG EAX,EBX
CALL EDI
CMP WORD PTR DS:[EAX],5A4D
JNZ calc_Obf.0102FB77

SaNX
Доктор вот это хотя бы убрал?


| Сообщение посчитали полезным:

Первую команду йа забыл скопипастить




int пишет:
MOV DWORD PTR SS:[ESP-F00],EAX ; долбоёб детектед - функционал сломан (неправильно удалена инструкция "xchg eax, edi"
нихуя не сломан. после калла в eax значение есть. А до кодедоктора заносилось из edi. Так что доктор все правильно тут сделал, нехуй гнать

блять, дальше проверил - тоже все правильно, содержимое регистров совпадает в ключевых местах.

-----
SaNX

| Сообщение посчитали полезным:

Code doctor был сделан для аспра применять его к каким либо программа вообще бред

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

SaNX
Вот именно, нехуй гнать. Запусти программу и убедишься, что функционал сломан.

SaNX пишет:
после калла в eax значение есть. А до кодедоктора заносилось из edi.
Вот что было:

Ты согласен с тем, что этот блок ничего не меняет? Меняет стэк в небезопасной зоне - любая модификация ниже ESP может быть потёрта (и будет). Строго говоря, эти изменения уходят в никуда, а значит весь блок можно заменить на ничего или на NOP'ы. Влиять факт удаления может только в случае наличия RDTSC/CRC методов защиты. Более того, сама эта обфускация может оказаться фатальной. Если бы значение было выбрано поменьше, скажем 0Ch, факт поломки функционала был бы на лицо и поймать его в этом случае не сложно. Ну а при таком значение поломка тоже будет, но редко.

P.S. Бля думайте перед тем как писать. У одного ROL=SHL, другой не может проверить трассировкой факт поломки функционала.
P.P.S. Небольшой оффтоп:
SaNX пишет:
нихуя не сломан. после калла в eax значение есть
Ильфак тоже так думал, что после CALL'а всегда EAX меняется. А вот CheckESP его не меняет. Досадная ошибка привела к невозможности нормальной декомпиляции проектов скомпилированных в режиме _DEBUG, где CheckESP делается везде, где это может быть нужно.

| Сообщение посчитали полезным:

> Меняет стэк в небезопасной зоне - любая модификация ниже ESP может быть потёрта (и будет).

Схуяли? До esp компиляторы ничего на хранят.

| Сообщение посчитали полезным:

int пишет:
SaNX
Вот именно, нехуй гнать. Запусти программу и убедишься, что функционал сломан.

бляяяя. Доктором деобфусцировал, запустил. Работает и считает даже бля. Ну и?

int пишет:
P.S. Бля думайте перед тем как писать. У одного ROL=SHL, другой не может проверить трассировкой факт поломки функционала.
в том и дело, что проверил, уже выше писал. Все работает сцуко, и значения регистров сходяццо блять.


PS: вот тебе после доктора файл
http://rapidshare.com/files/394654808/calc_Obfuscated1.rar.html

проверь сам хуле. Деобфусцировано до
mov ecx, 7C6Fh
add ecx, 3E37h
jnz loc_10618D4
включительно.

-----
SaNX

| Сообщение посчитали полезным: