Распаковка Private EXE Protector

| Сообщение посчитали полезным: Leatherfase, sierra, dosprog

ARCHANGEL, машинка взрослая.
В атаче олькина инишка с настройками плугов и т.д.
//Смотри_пробуй.

7128_14.01.2011_CRACKLAB.rU.tgz - ollydbg.ini

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: ARCHANGEL

uncleua прислал мне интересную программу, на которой не сработал скрипт "Распаковка Private EXE Protector". Причина оказалась для меня неожиданной. Дело в том, что в этом скрипте, для прохождения на OEP программы, я предусмотрел 2 контрольные точки, которые не зависят от версии протектора:
1. Запись раскриптованного кода в секции файла, при запуске программы
2. Изменение EP API LoadResource, для работы с украденными ресурсами
Однако, в присланной программе, программист не стал защищать секцию ресурса, и, поэтому, естественно, что протектор не пропатчил API LoadResource. В результате чего, скрипт здесь не сработал, и программа просто запускалась. Очевидно, что мне придется найти вторую контрольную точку, чтобы предусмотреть такой нюанс. Поэтому, чем больше будет сообщений о том, что скрипт не работает на какой-то программе, тем лучше удастся откорректировать этот скрипт, который бы нормально работал на всех программах, упакованных PEP.

| Сообщение посчитали полезным:

Ну вот, выкладываю небольшую статейку по инлайну пепки, хотя статьёй особо и не назовёшь, это скорее то, что я могу добавить к исследованиям Валентина:

>>> DOWNLOAD <<<

| Сообщение посчитали полезным: SReg, _ruzmaz_, Refcat, AKAB, verdizela, mak, 0xf0rd, NikolayD, nokius

В пепе инлайн не сложней чем в упх главное найти что инлайнить

| Сообщение посчитали полезным:

MasterSoft
На нормальный обменник свою статейку выложи пожалуйста.

| Сообщение посчитали полезным:

Lo пишет:
На нормальный обменник
Inline.patch.for.PEP.3.x.x-KITA

-----
We do what we want because we can.

| Сообщение посчитали полезным:

pavka
Согласен мне понравилось, что crc можно четырьмя байтами пропатчить, поэтому решил написать, ну и в нагрузку отписал про хвид.

| Сообщение посчитали полезным:

При анализе одной программы, упакованной PEP, встретился с интересной проблемой. При просмотре файла в PE Tools, он показывает, как и положено, 6 секций файла:



Однако, при загрузке файла в отладчик, выдается сообщение - Плохой или неизвестный формат 32-bit исполняемого файла. А в карте памяти - вместо отображения 7 секций файла (+ PE-заголовок) показывается только одна секция, с размером 20A02000 байтов. Причина оказалась очень интересной (во всяком случае, для меня). Разработчик программы увеличил в несколько раз размер таблицы импорта (вместо 14h байтов он указал размер в 144h байтов), и это явилось причиной получения этой ошибки исполняемого файла. Я откорректировал размер таблицы импорта на 14h байтов, и все стало на свои места. При загрузке файла не появляется сообщение о плохом формате файла, а в карте памяти отображаются все секции этого файла.

Возможно, что для кого-то эта информация окажется полезной.

| Сообщение посчитали полезным:

В PE формате не указан алгоритм подсчета размера директории импорта и каждый разработчик компилятора заполняет это поле так как считает правильным. Поэтому почти все компиляторы заполняют это поле по разному, а разработчик OllyDbg видимо до этого мало работал с PE форматом и заложил жесткие проверки. Он например считает, что размер секции кода (в NT заголовке) не может превышать размер образа файла, а на деле PE загрузчик вообще в эти поля не смотрит.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным: ajax

Private.exe.Protector.v3.3.3.Cracked-KITA

| Сообщение посчитали полезным: [Nomad], tihiy_grom, mak, BAHEK, Smon, Gideon Vi, antipod, Jupiter, Stars, DimitarSerg

MasterSoft пишет:

Private.exe.Protector.v3.3.3.Cracked-KITA
Чтото не пашет данная прога, похоже крякер из поднебесной её криво сломал. она у меня вообще незапускаеться.

| Сообщение посчитали полезным:

Stars пишет:
Чтото не пашет данная прога, похоже крякер из поднебесной её криво сломал. она у меня вообще незапускаеться.
ну почти 300 человек скачали - никто мне ещё не высказывал, о том что чёт не работает. скорей всего винда у тебя грязна, либо руки. но ничё утверждать не буду, если кто ещё отпишется по поводу работоспособности - посмотрю.

| Сообщение посчитали полезным:

Stars+10000
Вообщето крякер не китаец просто шлангуется под него
MasterSoft


| Сообщение посчитали полезным:

скачайте демку с офф сайта - проверьте, запускается?

P.S.: а ваще в ольку, посмотрели где ексепш и из за чего. и всё собственно)
P.P.S.: какая система? xp, win7 ?

| Сообщение посчитали полезным:

MasterSoftВсё нормально запускается с демкой

Експишен где происходит Х.З копать код неохото

| Сообщение посчитали полезным:

У меня демка тоже запускаеться.

| Сообщение посчитали полезным: SemiFiles

На скрине 3.3.0, а релиз 3.3.3.
Пробуйте запустить на варе, все работает нормально.
Прот вроде как сильный, но пичально видеть как его релизят чаще чем более популярные аналоги.

| Сообщение посчитали полезным:

pizdec пишет:
Прот вроде как сильный
Защита ресурсов тока была ноу-хау. Все остальное - отстой и не стабильность.

-----
От многой мудрости много скорби, и умножающий знание умножает печаль

| Сообщение посчитали полезным: DimitarSerg

не работает, не работает... из под DEP-а выведите.

| Сообщение посчитали полезным:

ajax вм и морфер уже у каждого пакера?

| Сообщение посчитали полезным:

Где ты там вм нашёл? По 1 команде эмулирует. Не говоря о том, что есть баги в этой самой как бы вм.
А морфа только у ленивого сейчас нет.
З.Ы. setisoft, залогиньтесь.

| Сообщение посчитали полезным: MasterSoft

pizdec пишет:
вм и морфер уже у каждого пакера?
pep не позиционируется как пакер ;)
Что касаемо протекторов - то современные (не мертвые) протекторы все за редким исключением (например арма) имеют вм и морф.

-----
"Пусть видят, что мы не шутим. Стволы для понта, ножи для дела" Lock, Stock & Two Smoking Barrels

| Сообщение посчитали полезным:

Archer готов даже поотдыхать с недельку (в бане за флуд) но в отличии от протекторов в паблик таки не попали деморферы, даже путевых размышлений на тему нету.... ток научные статьи КАК оно может а КАК оно не может...

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

Я скажу даже больше, половина научных статей (не всех подряд, а тех что годны в теории) только в теории и хороши. На практике память вырастет до сотен гб, что снижает полезность статей чуть меньше, чем до нуля. В том числе и диссертационных работ. Так что да, статей есть не особо много. Реально практически работающих и того меньше. А нормального софта под это на паблике нет совсем. И?

| Сообщение посчитали полезным:

Smon пишет:
например арма
Да арма переживёт все проты взятые вместе,пепка лишь сильна если прога накрыта по ключу,да и у них проблемы всегда былы(не на каждом проце запускались).

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

Archer пишет:
половина научных статей (не всех подряд, а тех что годны в теории) только в теории и хороши
про это вобщем вооще молчу. есть у мну пару "ученых" в теории БОГИ на практике они сами не понимают о чем пишут дисеры.
Archer пишет:
А морфа только у ленивого сейчас нет.
Походу мы все ленивые, у протов есть, а реверсеров нет.(у мну тоже жалкие потуги разгребания кода)

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....

| Сообщение посчитали полезным:

вышла новая пепка, версия 3.4.0. теперь не демка, триал лежит на сайте --> Link <-- пишут, что типа сильно обновили двиг. пока ещё не смотрел.

| Сообщение посчитали полезным: Gideon Vi, vnekrilov

сорри, немного по-оффтоплю...

только сейчас заметил на сайте SetiSoft такую хрень: --> Link <--

Исходный код протектора - 10000 USD
Забавно...кто что думает по этому поводу, кризис?

| Сообщение посчитали полезным:

Скорее безысходность )

| Сообщение посчитали полезным:

MasterSoft пишет:
Забавно...кто что думает по этому поводу, кризис?

мало быть мощной софтиной, нужно активно пиариться.

| Сообщение посчитали полезным: