| Сейчас на форуме: (+8 невидимых) |
 |
eXeL@B —› Протекторы —› SENTINEL Delphi Envelope. Теории бы кто подкинул... |
| Посл.ответ | Сообщение |
|
|
Создано: 04 февраля 2011 11:34 · Личное сообщение · #1 Доброго времени суток. Принесли значит мне софтец защищенный Sentinel-овским USB доглом. Такой небольшой наборчик exe-шников, вызывающих друг дурга по мере надобности. По иконке exe-шников легко выпаливается что это Delphi. Ха, ну дык как два байта переслать! Беру SENTINEL Delphi/VB Envelope Unpacker и прогоняю всё через него. С чувством полного удовлетворения проверяю пару первых файлов - работает. Потом выясняется что не всё так радужно. Половина файлов после снятия протекта перестала работать. При запуске либо вообще ничего не происходить, либо ошибки в стиле empty code section и т.п. Анпакер таки где-то ошибся  Теперь бы найти мануал с описанием процедуры снятия этого протекта. Либо самому руками снять, либо просто проверить где ошибся анпакер. Или может есть скрипты автоматизирующие данные процесс? В общем мои поиски на эту тему свелись к ссылкам на тот же SENTINEL Delphi/VB Envelope Unpacker, больше я ничего не нашёл. Может кто поможет ссылочкой или добрым советом?  |
|
|
Создано: 04 февраля 2011 12:18 · Личное сообщение · #2 IDA Pro, Stealther, ImpRec и ключ или его эмулятор. А дальше как обычно - OEP, IAT. ----- старый пень |
|
|
Создано: 04 февраля 2011 13:14 · Поправил: Fedun · Личное сообщение · #3 ключа нет. но ведь SENTINEL Delphi/VB Envelope Unpacker всё таки снял протект с некоторых файлов и они работают. судя по выводу он делает брутфорс. * New file created, unused sections removed! * Real first section size: $0009AC04 * Real second section size: $000014F0 * Relocations file offset: $0009F200 * Relocations section size: $0000AAE8 * Bruteforce first section in progress...$29FA2D0A * Searching for OEP: $0009BB2C * Bruteforce second section in progress...$34692B81 * Unpacking done, file saved as: FormDan.unp! |
|
|
Создано: 04 февраля 2011 14:20 · Личное сообщение · #4 Да, для старого шела был такой трюк с брутфорсом. Правда не любую секцию "отбрутфорсить" можно. Что за софт? Положи на обменник. ----- старый пень |
|
|
Создано: 04 февраля 2011 23:28 · Личное сообщение · #5 Fedun Автору деенвелопера напиши, мож косяки какие. У меня работал нормально, ес-но на старых типах конвертов. ----- От многой мудрости много скорби, и умножающий знание умножает печаль |
|
|
Создано: 07 февраля 2011 15:08 · Личное сообщение · #6 r_e пишет: Что за софт? Положи на обменник. ifolder.ru/21754679 выложил два файла для сравнения. один после снятия протекта работает, второй нет. |
|
|
Создано: 21 февраля 2011 13:34 · Личное сообщение · #7 ну раз информации нет, буду копать сам. и капать сам деенвелоп на предмет чего он там брутфорсит. логично предположить, брутфорс основан на подборе некой последовательности или структуры, специфичной именно для дельфи. от этого и буду плясать. |
|
|
Создано: 21 февраля 2011 14:30 · Поправил: r_e · Личное сообщение · #8 Fedun Сорри, занят был - забыл про твой вопрос. Держи Сдамплено уже после запуска (не на ОЕП), но в раскопках должно помочь. Добавлено: не запускалось потому что во втором файле помимо секции кода пошифрована еще одна секция. Аншеллер работает на статистических свойствах секции кода. Соответственно, обламывается если покриптована секция данных. ----- старый пень | Сообщение посчитали полезным: Fedun |
|
|
Создано: 22 февраля 2011 18:32 · Поправил: ajax · Личное сообщение · #9 Fedun С тутсов - ----- От многой мудрости много скорби, и умножающий знание умножает печаль | Сообщение посчитали полезным: Fedun |
|
|
Создано: 28 февраля 2011 13:02 · Личное сообщение · #10 ухтышблин! вот это спасибочки! и r_e за ценную информацию, а то бы я полез мучить брутфорс, и ajex за новую тузлу. |
|
eXeL@B —› Протекторы —› SENTINEL Delphi Envelope. Теории бы кто подкинул... |
Для печати