Сейчас на форуме: (+7 невидимых)

 eXeL@B —› Протекторы —› Armadillo Informant 0.9 (Beta)
Посл.ответ Сообщение


Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

 Создано: 22 марта 2011 15:15 · Поправил: BoRoV
· Личное сообщение · #1

Альтернатива Armadillo Find Protected.

Armadillo Informant 0.9.5 (Beta). Static Armadillo Scanner.
Автор: Ghandi [ARTeam]

Code:
  1. After a long and fruitful investigation of The Armadillo Protection System internals I am able to show to you the
  2. some of the results of my research. I am presenting a public beta version of AI 0.9b (Armadillo Informant),
  3. which at present has been tested on files protected with Armadillo from version 4.40 up to current 8.20 only.
  4.  
  5. Note:
  6.  
  7. * All operations are performed on static files, this tool doesn't execute any processes.
  8. * Versions lower than 3.75 are not supported currently, please note this.
  9. * Feature requests and bug reports can be posted in this thread and i'll answer them as soon as i can.
  10. * When completed, the tool will be accompanied by a full tutorial explaining how the tool works with Armadillo protected files.
  11.  
  12.  
  13. So far it retrieves:
  14.  
  15. * Version of Armadillo.
  16. * Compression level.
  17. * Protection options.
  18. * Whether or not Armadillo has substituted DWORDs in the .pdata section to thwart static unpacking of the content (v6.xx+)
  19. * Other Options (Disable REGISTER, etc) - this function is partially incomplete until i map out all the bits.
  20. * Name of .ARM project the file belongs to.



http://www.accessroot.com/arteam/forums/showtopic=10518

Armadillo Informant 0.9.5b

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: Airenikus, Dazz, int 26h, OnLyOnE, AKAB, deepred


Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

 Создано: 25 марта 2011 16:31
· Личное сообщение · #2

Code:
  1. === CHANGELOG ===
  2.  
  3. 0.9.0b  22/03/2011      -       Initial beta release
  4.  
  5. 0.9.1b  23/03/2011      -       Disabled 'other options' scan to redesign
  6.                                 Left other functions intact for testing
  7.  
  8. 0.9.2b  25/03/2011      -       Changed detection method for .text section
  9.                                 Added folder scanning
  10.                                 Added threading


5150_25.03.2011_EXELAB.rU.tgz - AI 0.9.2b.rar

-----
Лучше быть одиноким, но свободным © $me


Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

 Создано: 29 марта 2011 16:13
· Личное сообщение · #3

Code:
  1. 0.9.3b  29/03/2011      -       Added detection for unpacked files, attempts processing
  2.                                       'Log to file' option
  3.                                       cleanup code for when terminating scan thread(s)
  4.                                       more verbose logging for debugging errors

Armadillo Informant 0.9.3b

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: Valemox


Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

 Создано: 31 марта 2011 16:30
· Личное сообщение · #4

Code:
  1. 0.9.4b  31/03/2011      -       Added option to save security.dll to disk
  2.                                 Recoded folder search to remove bugs
  3.                                 Display more information obtained from protected executable


Пример лога:
Code:
  1. File:         WebMoney.exe
  2. Path:         [DELETED]
  3.  
  4. -> Locate compression options.
  5. -> Direct reference application matrix.
  6. -> Get dword from Armadillo code.
  7. -> Skipping pdata pre-security.dll portion.
  8. -> Skipping tail portion(s).
  9. -> Extract security.dll.
  10. -> Locate Armadillo version.
  11.  
  12. * Scan Results *
  13.  
  14. Detected version:          6.40
  15.  
  16. * Compression Option *
  17.  
  18. Compression level:                 Better/Slower
  19.  
  20. * Protection Options *
  21.  
  22. Standard Protection Only
  23. Enable Import Table Elimination
  24. Enable Strategic Code Splicing
  25.  
  26. Armadillo sections:               4
  27.  
  28. -> Name:                  .text1
  29. -> Raw offset:       0x00001000
  30. -> Raw size:           0x00060000
  31. -> Virtual address:               0x00024000
  32. -> Virtual size:   0x00060000
  33. -> Characteristics:               0xE0000020
  34.  
  35. -> Name:                  .adata
  36. -> Raw offset:       0x00061000
  37. -> Raw size:           0x0000D000
  38. -> Virtual address:               0x00084000
  39. -> Virtual size:   0x00010000
  40. -> Characteristics:               0xE0000020
  41.  
  42. -> Name:                  .data1
  43. -> Raw offset:       0x0006E000
  44. -> Raw size:           0x00013000
  45. -> Virtual address:               0x00094000
  46. -> Virtual size:   0x00030000
  47. -> Characteristics:               0xC0000040
  48.  
  49. -> Name:                  .pdata
  50. -> Raw offset:       0x00081000
  51. -> Raw size:           0x00091000
  52. -> Virtual address:               0x000C4000
  53. -> Virtual size:   0x000A0000
  54. -> Characteristics:               0xC0000040
  55.  
  56. Text section encrypted:    Yes
  57.  
  58. Dword shuffling used:      No
  59. Hash resources:     Yes
  60. Real size of pdata:               0x00091000
  61. Compression type:          0x1
  62.  
  63. Raw options value:                 0x00E34841
  64. Call exe OEP:         0x0044D3FD
  65. Call dll OEP:         0x0044BB92
  66. Offset to Security.dll:    0x00000012
  67. Security.dll size:                 0x000E4000
  68. Security.dll base:                 0x10000000
  69. CopyMem-II decrypt:        0x10086240
  70.  
  71. -> Free file buffer.
  72. -> Free .text buffer.
  73. -> Free pdata buffer.
  74. -> Free security.dll buffer.


Armadillo Informant 0.9.4b

-----
Лучше быть одиноким, но свободным © $me


Ранг: 533.6 (!), 232thx
Активность: 0.450
Статус: Uploader
retired

 Создано: 07 апреля 2011 17:18 · Поправил: BoRoV
· Личное сообщение · #5

Code:
  1. 0.9.5b  07/04/2011      -       Added EP signature check, prompt for continuation on unsupported (ie: unpacked, repacked) files.
  2.                         -       Added bounds checking in some of the scan functions, more to follow.
  3.                         -       Added skin library, experimental and only enabled on XP systems, may be removed though.

Armadillo Informant 0.9.5b

-----
Лучше быть одиноким, но свободным © $me

| Сообщение посчитали полезным: verdizela

Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

 Создано: 01 апреля 2012 15:13
· Личное сообщение · #6

Code:
  1. 0.9.6b 26/03/2012
  2. Removed skinning library, poorly implemented virtual dll and other issues.
  3. Minor code modifications, now supports up to Armadillo v9.01.



946b_01.04.2012_EXELAB.rU.tgz - AI 0.9.6b.rar

| Сообщение посчитали полезным: daFix, vnekrilov, AKAB

Ранг: 30.8 (посетитель), 1thx
Активность: 0.010
Статус: Участник

 Создано: 01 апреля 2012 20:27
· Личное сообщение · #7

Вроде как и не первая версия, а определяет через одну прогу.

1.-------------
Path: C:\13

Attempting to continue, prepare for anything...
-> ! Failed to locate call prior to OEP.
-> ! Failed to locate call prior to dll EP.
-> ! Failed to locate critical information for security.dll
-> Free file buffer.
-> Free .text buffer.
-> Free pdata buffer.
2.-------------
Path: C:\13

Attempting to continue, prepare for anything...
EXCEPTION_ACCESS_VIOLATION @ 004037DB
-> Free file buffer.
-> Free .text buffer.
3.-------------
Path: C:\13

-> .adata entrypoint signature found.
-> Locate compression options.
-> Direct reference application matrix.
-> Get dword from Armadillo code.
-> Skip pdata pre-security.dll portion.
-> Bitmap file(s).
-> pdata chunk at: 00F9002B
-> Unpacked size: 00009AC6
-> Packed size: 000040C3
-> Skip tail portion(s).
-> Chunk size: 000000B6
-> Extract security.dll.
-> Packed size before: 00006E3C
-> Packed size after: 00006E3C
-> CRC32 Matches!
EXCEPTION_ACCESS_VIOLATION @ 004029B9
-> Free file buffer.
-> Free .text buffer.
-> Free pdata buffer.
-> Free security.dll buffer.
4.-------------
Path: C:\13

Attempting to continue, prepare for anything...
-> Locate compression options.
-> Direct reference application matrix.
-> Get dword from Armadillo code.
-> Skip pdata pre-security.dll portion.
-> Skip tail portion(s).
-> Extract security.dll.
-> Packed size before: 00036155
-> Packed size after: 00036155
-> CRC32 Matches!
-> Locate Armadillo version.

-> ! Failed to locate MOVZX reg, WORD PTR [reg+06]
* Scan Results *

Detected version: @_)пІг4цYЊј

* Compression Option *

Compression level: Better/Slower

* Protection Options *

Standard Protection Only
5.-------------
Path: C:\13

-> older .text entrypoint signature found.
-> First section contains executable code, treating as if unpacked.
-> ! Failed to locate beginning of Armadillo stub.
-> Free file buffer.
6.-------------
Path: C:\13

Attempting to continue, prepare for anything...
-> ! Failed to locate call prior to OEP.
-> ! Failed to locate call prior to dll EP.
-> ! Failed to locate critical information for security.dll
-> Free file buffer.
-> Free .text buffer.
-> Free pdata buffer.



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

 Создано: 03 апреля 2012 00:18
· Личное сообщение · #8

Там ещё не определялось если название секции не pdata или вроде того.



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

 Создано: 03 апреля 2012 01:16
· Личное сообщение · #9

NikolayD
На сколько я помню, все публичные билды были изначально заточены под рандомные имена секций. Ты наверное с армагедоном путаешь.



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

 Создано: 03 апреля 2012 18:39
· Личное сообщение · #10

Vovan666, неее точно было такое и сейчас кстати не поменялось.



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

 Создано: 03 апреля 2012 18:50
· Личное сообщение · #11

Да нормально всё определяется

Code:
  1. File:         Armadillo.exe
  2. Path:         C:\Program Files\SoftwarePassport
  3.  
  4. -> .adata entrypoint signature found.
  5. -> Locate compression options.
  6. -> Locating pointer to application matrix.
  7. -> Get dword from Armadillo code.
  8. -> Get dword from Armadillo code.
  9. -> Skip pdata pre-security.dll portion.
  10. -> Bitmap file(s).
  11. -> pdata chunk at:                 0117002B
  12. -> Unpacked size:          000090BA
  13. -> Packed size:     00006B4F
  14. -> Skip tail portion(s).
  15. -> Extract security.dll.
  16. -> Packed size before: 00090C8A
  17. -> Packed size after: 00090C8A
  18. -> CRC32 Matches!
  19. -> Locate Armadillo version.
  20.  
  21. * Scan Results *
  22.  
  23. Detected version:          8.60
  24.  
  25. * Compression Option *
  26.  
  27. Compression level:                 Best/Slowest
  28.  
  29. * Protection Options *
  30.  
  31. CopyMem-II & Debug Blocker
  32. Enable Import Table Elimination
  33. Enable Nanomite Processing
  34. Enable Random PE Names
  35.  
  36. Armadillo sections:               4
  37.  
  38. -> Name:                  .fzme
  39. -> Raw offset:       0x00001000
  40. -> Raw size:           0x000A5000
  41. -> Virtual address:               0x001D0000
  42. -> Virtual size:   0x000B0000
  43. -> Characteristics:               0xE0000020
  44.  
  45. -> Name:                  .sriew
  46. -> Raw offset:       0x000A6000
  47. -> Raw size:           0x0000D000
  48. -> Virtual address:               0x00280000
  49. -> Virtual size:   0x00010000
  50. -> Characteristics:               0xE0000020
  51.  
  52. -> Name:                  .osci
  53. -> Raw offset:       0x000B3000
  54. -> Raw size:           0x0001D000
  55. -> Virtual address:               0x00290000
  56. -> Virtual size:   0x00030000
  57. -> Characteristics:               0xC0000040
  58.  
  59. -> Name:                  .uzpgy
  60. -> Raw offset:       0x000D0000
  61. -> Raw size:           0x003AD000
  62. -> Virtual address:               0x002C0000
  63. -> Virtual size:   0x003B0000
  64. -> Characteristics:               0xC0000040
  65.  
  66. Text section encrypted:    Yes
  67. Dword shuffling used:      Yes
  68. Number of dwords:          17
  69. Real size of pdata:               0x003ACEFA
  70. Compression type:          0x2
  71.  
  72. Raw options value:                 0x5FC30A5E
  73. Call exe OEP:         0x005EF3EA
  74. Call dll OEP:         0x005EDC80
  75. Nanomite handler:          0x005D9B0A
  76. Offset to Security.dll:    0x00006B6F
  77. Security.dll size:                 0x00148000
  78. Security.dll base:                 0x10000000
  79. CopyMem-II decrypt:        0x1006DF40
  80.  
  81. -> Free file buffer.
  82. -> Free .text buffer.
  83. -> Free pdata buffer.
  84. -> Free security.dll buffer.

Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

 Создано: 04 апреля 2012 02:23
· Личное сообщение · #12

Я уже отписал в тему на туторах посмотрим, что ганди скажет.



Ранг: 189.9 (ветеран), 334thx
Активность: 0.30
Статус: Участник

 Создано: 06 апреля 2012 09:45
· Личное сообщение · #13

I've modified the PDATA detection routine, it will detect this particular type of pdata arrangement but i am considering rewriting the entire tool and if i do this the detection will be redesigned, a generic solution would be ideal and i prefer that to signature based checking anyway.


fa47_06.04.2012_EXELAB.rU.tgz - AI 0.9.6b.rar

| Сообщение посчитали полезным: Dart Raiden, sivorog
 eXeL@B —› Протекторы —› Armadillo Informant 0.9 (Beta)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати