Сейчас на форуме: (+8 невидимых) |
eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины. |
<< . 1 . 2 . 3 . 4 . 5 . >> |
Посл.ответ | Сообщение |
|
Создано: 03 октября 2010 09:17 · Личное сообщение · #1 |
|
Создано: 17 мая 2012 11:30 · Личное сообщение · #2 Как обезьянка повторять всё то, что было на видео - это не гуд. Учитесь думать своими мозгами, а то постоянно будете паниковать, когда что-то не будет один в один совпадать с видео-тутором. | Сообщение посчитали полезным: ClockMan, vnekrilov, Dart Raiden |
|
Создано: 18 мая 2012 19:31 · Личное сообщение · #3 |
|
Создано: 19 мая 2012 14:35 · Поправил: sivorog · Личное сообщение · #4 ну там же не всегда криптованный код бывает, по идее... вот, Maximus утверждает, что её можно заинлайнить, статью написал и пример дал, http://exelab.ru/f/action=vthread&forum=13&topic=19415 и тогда пофигу что ключи, что без ключей ну а если крипто, то, конечно, туго. ИМХО, как и с Аспротектовым крипто. тогда ключ нужен. хоть забаненный. UPD http://exelab.ru/f/action=vthread&forum=13&topic=17944&page=2#2 |
|
Создано: 08 июля 2012 17:47 · Поправил: sivorog · Личное сообщение · #5 вот у меня такой вопрос: - чтобы отсобачить секцию ВМ от работающего дампа, чтоб он опять-таки работал , надо UnVirtualize сделать, так? - чтобы UnVirtualizer ODBG plugin смог работать, надо деобфусцировать? - а что именно деобфусцировать? то есть что-то в ВМ, какую-то область ВМ; но как в каждом конкретном случае понять, что деобфусцировать, а что нет? а может, не всегда надо деофусцировать? я смотрел мувик "Risc Unpack Exsample" от LCF-AT, но мне не очевидно... примером пусть будет Unpackme от SCTeam (см. аттач), там еще и Visual Basic'овские заморочки. как я ни отрезал от него секцию ВМ - и EP менял, и дампил... ни фига обрезанный не хочет работать. 399a_08.07.2012_EXELAB.rU.tgz - 29.zip |
|
Создано: 08 июля 2012 19:04 · Личное сообщение · #6 |
|
Создано: 08 июля 2012 19:12 · Поправил: sivorog · Личное сообщение · #7 NikolayD хорошо. как его восстановить? я сделал трассировку от самого начала до конца, то есть от загрузки распакованного работающего exe в Олли и до появления окошка. ~ 150 МБ лог трассировки, бегло просмотрел - там все в секции ВМ исполняется (нечто), и в самом-самом конце Code:
я поставил ОЕП на вызов ThunRTMain - н0ль эффекта. |
|
Создано: 08 июля 2012 19:14 · Поправил: NikolayD · Личное сообщение · #8 Руками очевидно ))) new: хех, вм всётаки есть D Ну как-нибудь так: Code:
| Сообщение посчитали полезным: sivorog |
|
Создано: 08 июля 2012 19:37 · Поправил: sivorog · Личное сообщение · #9 во! вот это я понимаю! щас полезу разбираться, откуда взялся волшебный адрес Code:
спасибо, NikolayD ! а всё-таки, что там насчет деобфускации? Archer как-то сказал, что, в принципе, она жить дампу не мешает. Обфускация -это ж вроде когда вместо 3-5 инструкций имеется 30-50, а эффект тот же ? так когда ее надо делать? не в этом примере, а вообще на TM WL таргетах? 2def_08.07.2012_EXELAB.rU.tgz - 29_6.exe |
|
Создано: 08 июля 2012 23:00 · Личное сообщение · #10 |
|
Создано: 09 июля 2012 06:26 · Личное сообщение · #11 |
|
Создано: 10 июля 2012 01:40 · Личное сообщение · #12 |
|
Создано: 10 июля 2012 07:52 · Личное сообщение · #13 Переход на фимку начался, ориентировочно, с 5 июля, а AgataSoft HotKey Manager был 30 июня, wrapper был старый. Поглядите, скажем, на Smart Audio Editor Personal 6.0. Народ уже бухтит, что не у всех нормально устанавливается, лезут ошибки, GOTD-шники просят сообщать о таких случаях и сулят все исправить. |
|
Создано: 19 июля 2012 10:17 · Личное сообщение · #14 вот может ли такой код Code:
быть на самом деле виртуализованным? UV что версии 1.2, что версии 1.5 выводит порядка 60 референсов, но по большинчтву из них имеется классический код, видимо пресловутые антидампы. меня смущает обилие незнакомых команд компилятор - VC++, QT |
|
Создано: 19 июля 2012 16:32 · Личное сообщение · #15 |
|
Создано: 19 июля 2012 17:42 · Личное сообщение · #16 |
|
Создано: 28 августа 2012 14:32 · Поправил: Maximus · Личное сообщение · #17 >Это все понятно, вопрос в практической реализации сборки размазанного инсталлятора. Анврапер написал. Я так понял там можно и статик сделать, потому как ключ очень маленький (вроде как word). Но ковыряться особо неохота. А так можно вытащить примерно так: 1. Тип: Activator.exe: a) бряк на VirtualProtectEx b) при срабатывании ищем сигнатуру '558BEC6AFF68????????64A1000000005083EC10', ставим бряк с) при срабатывании в eax лежит начало ключевого файла, в edx длина, сохраняем рег.файл на диск. 2. Тип: Setup.exe: a) бряк на ZwWriteVirtualMemory b) при срабатывании если это данные программы пишем буфер в копию setup.exe файла с) потом загружаем полученный из пунктов a) и b) setup.exe и инжектим туда dll врапера d) выполняем внутри процесса код: Code:
e) Если полученный таким образом размер файла больше, чем сохраненный exe, значит у файла есть оверлей, вытаскиваем его таким кодом: Code:
----- StarForce и Themida ацтой! |
|
Создано: 08 октября 2012 13:20 · Личное сообщение · #18 Тутор новый P.S. Тему не мешало бы закрепить. | Сообщение посчитали полезным: schokk_m4ks1k |
|
Создано: 08 октября 2012 13:40 · Личное сообщение · #19 NikolayD http://rghost.ru/40807563 http://rghost.ru/40807576 hjsplit-http://rghost.ru/40807581 | Сообщение посчитали полезным: schokk_m4ks1k, NikolayD |
|
Создано: 08 октября 2012 13:54 · Личное сообщение · #20 |
|
Создано: 08 октября 2012 13:56 · Поправил: -Sanchez- · Личное сообщение · #21 |
|
Создано: 08 октября 2012 13:57 · Личное сообщение · #22 vnekrilov Их нужно склеить. Правда через hjsplit у меня не получилось. одним архивом http://rghost.ru/40807791 | Сообщение посчитали полезным: vnekrilov |
|
Создано: 08 октября 2012 14:26 · Личное сообщение · #23 |
|
Создано: 08 октября 2012 15:39 · Личное сообщение · #24 |
|
Создано: 08 октября 2012 20:05 · Личное сообщение · #25 Ну Вы, блин, даёте! (с) Достаточно расширение убрать раровское ) | Сообщение посчитали полезным: yagello |
|
Создано: 12 октября 2012 19:18 · Поправил: Kuzya69 · Личное сообщение · #26 |
|
Создано: 12 октября 2012 19:49 · Личное сообщение · #27 Kuzya69 пишет: Прошу прощения.В сообщении №22, на первой странице, Vovan666, давал две ссылки. Но чего-то обе они удаленные. Нельзя еще раз загрузить куда-нибудь? Держи ----- We do what we want because we can. |
|
Создано: 12 октября 2012 19:50 · Личное сообщение · #28 |
|
Создано: 12 октября 2012 20:46 · Личное сообщение · #29 |
|
Создано: 17 октября 2012 09:30 · Личное сообщение · #30 |
|
Создано: 17 октября 2012 12:19 · Личное сообщение · #31 neprovad пишет: На CISC вариантах плагин unvirtualizer справляется обычно всегда К большому сожалению- не всегда. Мне попадалось несколько программ, где на отдельных подпрограммах этот плагин давал сбой. Одно хорошо, что плагин выдает текстовый файл с восстановленными инструкциями. Приходиться вручную находить сбойное место, и записывать нужную инструкцию, после чего с помощью прекрасного плагина MUltimate Assembler вставлять восстановленный код на нужное место. | Сообщение посчитали полезным: ClockMan |
<< . 1 . 2 . 3 . 4 . 5 . >> |
eXeL@B —› Протекторы —› Распаковка Themida последних версий: туторы, скрипты, плагины. |