| Сейчас на форуме: (+7 невидимых) |
 |
eXeL@B —› Протекторы —› Распаковка Private EXE Protector |
| . 1 . 2 . 3 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 08 января 2011 13:38 · Личное сообщение · #1 |
|
|
Создано: 08 января 2011 13:46 · Личное сообщение · #2 В последнее время мне стали чаще попадаться программы, упакованные Private EXE Protector. Кроме того, за последнее время SetiSoft выпустил несколько последних версий своего протектора, которые не поддаются распаковке тем методом, который я описывал в своих статьях в 2007 году. Я решил восполнить этот пробел, и запланировал написать несколько статей на эту тему. Хочу сказать, что мне удалось практически полностью автоматизировать процесс восстановления секции ресурсов, которые в предыдущих моих статьях приходилось восстанавливать вручную. Сегодня я выкладываю 1-ю часть статьи, в которой описан процесс распаковки программ, упакованных Private EXE Protector. К этой статье приложены три скрипта, которые значительно помогают автоматизировать процесс распаковки программы. Во второй части статьи будет описан процесс восстановления секции ресурсов программы, и приложены скрипты для автоматизации этого процесса. Буду, как всегда, признателен за замечания, пожелания и критику.  52a9_08.01.2011_CRACKLAB.rU.tgz - Private EXE Protector (Распаковка по vnekrilov).rar
 | Сообщение посчитали полезным: Airenikus, [c4], Hellspawn, hlmadip, ClockMan, BAHEK, 3ton, MasterSoft, Gideon Vi, deepred, NaumLeNet, Dem0n1C, KingSise, FrenFolio, Vintersorg, SReg, zeppe1in, NikolayD, _ruzmaz_, Coderess, [Nomad], sendersu, Valemox, [0utC4St], Error13Tracer, Isaev, antipod, Kindly, tihiy_grom, mak, Lumen, demon1232010, Tyra, Talula, d0wn, 0xf0rd, aRiX, babelpatcher, AtilkaShooter2, Utwig |
|
|
Создано: 08 января 2011 15:15 · Личное сообщение · #3 vnekrilov эх...опередил меня  ещё не смотрел, но догадываюсь, что ты умница 
|
|
|
Создано: 08 января 2011 17:02 · Личное сообщение · #4 У меня огромная просьба к читающим мои статьи - если вы увидите какие-либо ошибки или неточности, сообщите мне о них. В моих планах, после завершения цикла статей, все объединить в один флакон, и выложить в формате .chm. Поэтому, при окончательной редакции, я смогу учесть все замечания, пожелания и ошибки. Признателен NaumLeNet за указанную им ошибку в статье. |
|
|
Создано: 09 января 2011 00:53 · Поправил: sendersu · Личное сообщение · #5 Private EXE Protector 3.2.4 demo наглухо вешает CFF при попытке просмотра data directories! ето только у меня такое? |
|
|
Создано: 09 января 2011 01:21 · Личное сообщение · #6 sendersu Это у всех такое. Так и должно быть Посмотри размеры секции
|
|
|
Создано: 09 января 2011 01:44 · Личное сообщение · #7 SReg спс, вижу - секция .bss почти 700 МБ (да и в статье ето есть) а также SizeOfImage но вообщето SectionHeaders и DataDirectories(=PE Directories) - разные вещи, верно ведь? еще вопрос знатокам -при загрузке PEP324demo Олли ругается: --------------------------- Error --------------------------- Bad or unknown format of 32-bit executable file 'F:\test\Private exe Protector 3.2.4.demo\Private exe Protector.exe' --------------------------- OK все установки и плагины как в статье |
|
|
Создано: 09 января 2011 01:49 · Поправил: MasterSoft · Личное сообщение · #8 sendersu Olly advanced поставь и на вкладке bugfixes поставь галку на Kill NumOfRva Bug Added: ну или можешь сам в петулсе поправить Number of Rva and Sizes на 10 скажем, но тада мессадж црц же ёпта...позже напишу статейку про инлайн пепки там и расскажу, про наги, crc, hwid и прочую байду.) SReg ток что подсказал, что в стронге тож фича эта есть, галку сюда: !*Kill BadPEBug и будет тебе счастье) vnekrilov статью мельком глянул, зачот, респект и уважуха, ну впрочем ты в своём репертуаре, thx!  оч уж хочется на твой дампер ресурсов глянуть, а то я ток писать начал и вдруг сегодня уже перестал
|
|
|
Создано: 09 января 2011 03:08 · Личное сообщение · #9 MasterSoft в точку! спс Олли перестал ругаццо. А еще - в том же Олли адв. есть галка Break on TLS Callback - без нее надо или руками или пролетим 
|
|
|
Создано: 09 января 2011 03:27 · Личное сообщение · #10 sendersu пишет: есть галка Break on TLS Callback на еп ты всё-равно тормознёшься, ИМХО, для анпака ручками брякаться на калбэке не обязательно. как дела со скриптами обстоят не знаю .не пробывал. |
|
|
Создано: 09 января 2011 11:01 · Личное сообщение · #11 Сегодня я выкладываю вторую часть статьи по распаковке Private EXE Protector, в которой подробно описана структура секции ресурсов PE-файлов, а также приведены скрипты для восстановления украденных ресурсов и записи их в секцию ресурса распакованного файла. Я очень благодарен всем, кто прислал мне свои замечания и предложения по первой части туториала. Эти замечания очень для меня ценные, и позволят улучшить окончательный вариант туториала. И просьба, нет ли у кого предыдущих версий Private EXE Protector, поскольку в моей коллекции нет их всех. В некоторых версиях меняется цепочки байтов, и это позволило бы мне, в случае необходимости, откорректировать окончательные варианты скриптов. Если кто-то может поделиться, сбросьте на какой-либо обменник. 2003_09.01.2011_CRACKLAB.rU.tgz - Private EXE Protector (Распаковка по vnekrilov - часть 2).rar
| Сообщение посчитали полезным: NaumLeNet, FrenFolio |
|
|
Создано: 09 января 2011 12:30 · Личное сообщение · #12 vnekrilov PeP 1.9, 1.9.5, 2.0, 2.15, 2.25, 3.0.1, 3.0.2, 3.0.7, 3.2.0 - ушло в личку ----- От многой мудрости много скорби, и умножающий знание умножает печаль |
|
|
Создано: 09 января 2011 13:25 · Личное сообщение · #13 PeP 2.7.1, 3.1.4 - ушли. ----- Array[Login..Logout] of Life |
|
|
Создано: 09 января 2011 13:44 · Личное сообщение · #14 Может нужны кому то... Code:
ajax Kindly расшарьте, это не бог весть какой "приват" |
|
|
Создано: 09 января 2011 15:02 · Личное сообщение · #15 ajax Kindly Большое спасибо за предоставленный материал. SReg Эти сигнатуры могут пригодиться. |
|
|
Создано: 09 января 2011 15:03 · Поправил: DGX · Личное сообщение · #16 ajax пишет: 2.0, 2.15, 2.25, 3.0.1, 3.0.2, 3.0.7 Скинь в пм. |
|
|
Создано: 09 января 2011 17:08 · Личное сообщение · #17 vnekrilov пишет: наибольшей проблемой, которая имеется при распаковке таких программ, является восстановление украденной секции ресурсов в упакованных файлах Наибольшая проблема - отсутсвие пары, без которой упнак - пустышка. С востановлением сьеденных ресурсов, проблем не было, кроме маленького неудобства с именами битмапов. ====== Отрисовка нага, подразумевает отсутвие лицензии, а если она есть? ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 09 января 2011 19:11 · Поправил: vnekrilov · Личное сообщение · #18 Bronco пишет: Наибольшая проблема - отсутствие пары, без которой упнак - пустышка. Да, существуют разные способы защиты программ, у одних достаточно поменять один-два условных прыжка, и программа становится зарегистрированной, к другим программам нужно применить ключ, который позволяет раскриптовать несколько участков кода, и программа становится полностью рабочей. А в некоторых демо-версиях программ вообще выброшены большие куски кода, что значительно снижает функционал таких программ. Мне приходилось на ранних демо-версиях программы Passolo дописывать килобайты недостающего кода, и переводить их из версии Demo в версии Full. А были и случаи, когда мне присылали валидную пару - HwiD+регистрационный ключ, и просили с помощью такой пары распаковать программу с получением полностью раскриптованного всего кода, чтобы отвязать такую программу от конкретной машины. Поэтому я считаю, что нужно уметь распаковывать все программы, защищенные разными протекторами, пусть они даже будут демо-версиями. Ведь иногда находишь нужную программу, у друзей просишь валидную пару HWiD+регистрационный ключ, подменяешь HWiD на своем компе, и получаешь полностью рабочую программу и для себя, и для друзей. Поэтому - мое глубокое убеждение - уметь распаковывать и так называемые "пустышки". Такое умение "пустышкой" не бывает!!! 
|
|
|
Создано: 09 января 2011 21:32 · Поправил: Bronco · Личное сообщение · #19 vnekrilov, к чему этот опус, я так и не понял.  Лично для себя, при чтении статьи, хотел увидеть разницу в развити топовой защиты. Больше года за ней слежу, ибо надоело вскрывать в N-ый раз одно и то же.... Может не правильно читал. На том что есть (3.1.4), скрипт"Распаковка Private EXE Protector.osc" выдал месседж "Ошибка!!! Подпрограмма изменения APIs, связанных с обработкой ресурсов файла, не найдена!" //add: Ради интереса, залил демку: 1.замеры тактов, автор не юзает больше двух лет 2.половину iat, защита перенесла. // там нет эмуляции api, там нет даже эмуляции переходников. Не уверен, что в полной версии всё будет именно так. 3.очевидно юзаешь плуг TlsCatch.dll 4.V.Size- первой секции = V.Size файла до компресии //так и осталось. -------------------- существуют разные способы защиты программ Допустим, что предмет обсуждения навесные защиты, то способы, как решение - что защитить, практически одни и те же, а вот уровень реализации этих решений, в том числе и лицензирование, действительно разные. подменяешь HWiD на своем компе, и получаешь полностью рабочую программу Спорный вопрос, даже после пепки, марафетить приходится... Такое умение "пустышкой" не бывает!!! Если тебе, это поможет приобрести к примеру новый авто, то я за тебя рад... ----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 13 января 2011 18:00 · Личное сообщение · #20 После получения дистрибутивов PEP, я дорабатываю скрипт для распаковки полученных версий от 2.7 до 3.2.4 (чтобы он получился универсальным для всех версий протектора). Работа продвигается, с моей точки зрения, достаточно успешно. Однако приходится полностью перерабатывать скрипт для распаковки PEP. Причина заключается в том, что, начиная с версии 3.1.4 (имеются ввиду версии PEP, которые есть у меня), SetiSoft изменил способ эмуляции APIs. Если в версиях до 3.1.4 он получал адрес API непосредственно после ее вызова из кода программы, то в последующих версиях он получает все адреса API в VM_PEP, и, при вызове нужной API, в VM_PEP уже имеется прыжок на реальный адрес этой API. Конечно, объединить несколько концепций в одном скрипте достаточно сложно, но можно, поскольку у меня уже имеется такой опыт при разработке серии скриптов для практически всех версий Asprotect. Так что немного подождите, и дня через 2-3 я выложу универсальный вариант скрипта, который будет распаковывать те версии PEP, которые будут указаны в этом скрипте. | Сообщение посчитали полезным: deepred, Gideon Vi, [0utC4St], sngsprs |
|
|
Создано: 14 января 2011 06:19 · Личное сообщение · #21 Может я что-то не вкурил, но у меня без правки секций файлы, пакованные ПЕПом, вообще под отладчик не запускаются - просто виснут в бесконечном цикле где-то внутри загрузчика, даже не доходя до DbgBreakPoint. А в туторах это умалчивается - это у меня одного такая проблема? ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 14 января 2011 12:32 · Личное сообщение · #22 ARCHANGEL пишет: просто виснут в бесконечном цикле железо старое мало памяти | Сообщение посчитали полезным: Bronco |
|
|
Создано: 14 января 2011 13:28 · Личное сообщение · #23 ARCHANGEL пишет: под отладчик не запускаются - просто виснут в бесконечном цикле дык секции монстрячные, памяти не хватает |
|
|
Создано: 14 января 2011 13:53 · Личное сообщение · #24 pavka пишет: железо старое мало памяти 8 Гигов оперативы. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 14 января 2011 14:28 · Личное сообщение · #25 ARCHANGEL пишет: просто виснут в бесконечном цикле где-то внутри загрузчика Я у себя на это тоже обратил внимание. Выход нашел следующий - в отладчике устанавливаю параметр "Делать первую паузу на системной breakpoint". Когда программа на ней останавливается, перевожу дамп программы на блок памяти системной dll. После чего жму F9, чтобы остановиться на EP. Просто я обратил внимание на то, что прорисовка дампа с секцией VM_PEP занимает много памяти, и резко замедляет работу машины. Кстати, что интересно - PEP 3.0.1 жрет массу памяти, PEP 3.0.2 жрет памяти уже значительно меньше, а начиная с 3.0.7 машина работает достаточно быстро. Доработал и выкладываю скрипт для распаковки PEP. Его работу я протестировал на всех программах, которые у меня были, вроде бы работает без сбоев. На каких протекторах он тестировался - указано в заголовке скрипта. Буду признателен за сообщение об ошибках, на каких программах скрипт дает сбой. Просто у меня не очень много программ, упакованных этим протектором. 8c27_14.01.2011_CRACKLAB.rU.tgz - Распаковка Private EXE Protector.osc
| Сообщение посчитали полезным: [0utC4St], maddmaks, DGX |
|
|
Создано: 14 января 2011 15:08 · Личное сообщение · #26 vnekrilov пишет: Выход нашел следующий - в отладчике устанавливаю параметр "Делать первую паузу на системной breakpoint". Когда программа на ней останавливается... У меня ни одна программа, запакованная ПЕПом, до неё не доходит. Вот в чём проблема! vnekrilov, выложи пример програамы, на которой ты тестировал скрипты, если есть возможность. ----- Stuck to the plan, always think that we would stand up, never ran. |
|
|
Создано: 14 января 2011 15:19 · Личное сообщение · #27 ARCHANGEL пишет: 8 Гигов оперативы. Ищи косяки в системе . Все пепы без проблем брякаются на тлс. Подобная фигня была на старой тошке с третьим пеньком грузился нерально медленно, просто надоедало ждать |
|
|
Создано: 14 января 2011 15:34 · Личное сообщение · #28 ARCHANGEL пишет: выложи пример програамы, на которой ты тестировал скрипты, если есть возможность pep защищен сам собой - бери любую версию прота из тех, что перечислены в скрипте. |
|
|
Создано: 14 января 2011 23:47 · Личное сообщение · #29 pavka пишет: железо старое мало памяти +1, на пеньке двухядерном, шо сучка дешёвая летает...
----- Чтобы юзер в нэте не делал,его всё равно жалко.. |
|
|
Создано: 15 января 2011 08:04 · Личное сообщение · #30 Bronco пишет: +1, на пеньке двухядерном, шо сучка дешёвая летает... Intel CoreI7 850 - нифига не доходит до DbgBreakPoint. ----- Stuck to the plan, always think that we would stand up, never ran. |
| . 1 . 2 . 3 . >> |
|
eXeL@B —› Протекторы —› Распаковка Private EXE Protector |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати