Сейчас на форуме: (+7 невидимых)

 eXeL@B —› Протекторы —› Armadilo (8.0 видимо)
. 1 . 2 . >>
Посл.ответ Сообщение

Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 22 ноября 2011 17:04 · Поправил: VodoleY
· Личное сообщение · #1

Добрый день уважаемые. Попалась под руки прога, накрытая этим вот творением. До этого никогда с ним дел не имел. Первое, что сделал, покурил мануалы и попробовал стандартные утили Армагидон вроде чет распаковал, но бред.AI 0.9.5b определил армагу и отчитался о 8,0 версии. Тоже чет попытался с прогой сделать, тоже неудачно. Но общую картину описал как

Compression level: Best/Slowest
* Protection Options *
CopyMem-II & Debug Blocker
Enable Import Table Elimination
Enable Strategic Code Splicing
Enable Nanomite Processing
Enable Random PE Names
Полез во внутрь. Да, Debug Blocker на OpenMutexA таки поймался, при вызове VirtulaProtect просмотрел я как на длл, и секции ставяться новые права доступа (чтение/запись) , обещенных Push xxxx на возврате не наше, но вызовы армовой длл на функи dllEntryPoint и SetFunctionAdress нашлись немного ниже по коду. Вопрос первый. Есть ли мануалы по 8.0 версии (а вдруг, чтоб я никого не тревожил). Вопрос два. Пока проблема в том, что при вызове SetFunctionAdress идет терминейт процесса (работал на хардварных бряка) это меня гдето антидебаг палит или црц? вроде треады не создаюца или я чегото пропускаю.
PS наврал, создания потока я таки пропустил.
Хм. после создания потока, вайтфорсингл обжект терминейтит процесс. Может ктото рассказать побольше об функционале длл армы?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....




Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 22 ноября 2011 21:13
· Личное сообщение · #2

Ты бы цель выложил что ли...



Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 22 ноября 2011 22:26
· Личное сообщение · #3

int сори не могу. приват. меня собственно общие вопросы по арме интересуют.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....




Ранг: 13.0 (новичок), 2thx
Активность: 0.030
Статус: Участник

Создано: 22 ноября 2011 23:26
· Личное сообщение · #4

VodoleY
тут принято отвечать что туторов по арме хоть опой ешь



Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 22 ноября 2011 23:45
· Личное сообщение · #5

VodoleY
Вся проблема в том, что как верно заметил matrix, туторов сколько хочешь. Лень переписывать тонны теории, которая существует по арме. С конкретной целью можно поиграться, а так флудить попусту нет смысла. Не говоря уже о том, что ты можешь иметь дело с кастомным билдом (а в них могут быть элементы защиты, которые никогда нигде больше не объявятся).



Ранг: 281.8 (наставник), 272thx
Активность: 0.250.01
Статус: Участник
Destroyer of protectors

Создано: 23 ноября 2011 01:47
· Личное сообщение · #6

VodoleY пишет:
Первое, что сделал, покурил мануалы и попробовал стандартные утили

в соседней теме ещё мувик погляди, кажись там инлайн и анпак, и версия вроде восьмая хотя я не уверен, ибо мельком глянул про инлайн, ну это не важно.




Ранг: 568.2 (!), 464thx
Активность: 0.550.57
Статус: Участник
оптимист

Создано: 23 ноября 2011 02:03
· Личное сообщение · #7

VodoleY
Некоторые версии Ar-mudilli запускаютсвою свою копию чере коммандную строку хотя без жертвы..

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.





Ранг: 307.9 (мудрец), 196thx
Активность: 0.180
Статус: Участник

Создано: 23 ноября 2011 02:57 · Поправил: mysterio
· Личное сообщение · #8

Киньте плиз линк на последний Armadillo Find Protected и что-нибудь аналогичное ему.

В туторе выше юзают ArmAccess.dll v8.0 (к тутору к стати не приложено), если у кого-нить завалялись эти дллки v4.x-v8.x залейте тоже куда-нить.

Johnny Mnemonic
Это уже еcть но все-равно спасиба ;)

-----
Don_t hate the cracker - hate the code.




Ранг: 58.1 (постоянный), 42thx
Активность: 0.060.01
Статус: Участник

Создано: 23 ноября 2011 03:18
· Личное сообщение · #9

Armadillo Find Protected 2.0

3e0e_23.11.2011_EXELAB.rU.tgz - Armadillo Find Protected 2.0.rar

| Сообщение посчитали полезным: mysterio

Ранг: 22.4 (новичок), 19thx
Активность: 0.020
Статус: Участник

Создано: 23 ноября 2011 03:29
· Личное сообщение · #10

mysterio
http://exelab.ru/download.php?action=get&n=OTk1



Ранг: 6.0 (гость), 8thx
Активность: 0.010
Статус: Участник

Создано: 23 ноября 2011 04:14 · Поправил: Модератор
· Личное сообщение · #11

ты говаришъ Armadillo Find Protected и что-нибудь аналогичное ему в паблике тока две тулзы
ArmAccess.dll на... оно табе пеши свой

От модератора: Без выражений пожалуйста!

d96a_23.11.2011_EXELAB.rU.tgz - ArmAccess_TPoDT.rar



Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 23 ноября 2011 11:03
· Личное сообщение · #12

MasterSoft спасибо ща гляну, hlmadip спасибо. чет я его сразу не нашел.
ну вобщем инфа таже
<-Find Protect
Protection system (Professional)
<Protection Options>
Debug-Blocker
CopyMem-II
Import Table Elimination
Strategic Code Splicing
Nanomites Processing
<Backup Key Options>
Variable Backup Keys
<Compression Options>
Best/Slowest Compression
<Other Options>
Use Digital River Edition Keys
<-Find Version
Version 8.00 01-10-2010
Сегодня забурюсь поглубже и еще раз пороюсь в мануалах.. тут гдето в соседней ветке ктото мувики собирать про арму начинал, но его обложили и дали ссыль на гугулю жаль... (валидные пары у меня есть кстати.)

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....




Ранг: 281.8 (наставник), 272thx
Активность: 0.250.01
Статус: Участник
Destroyer of protectors

Создано: 23 ноября 2011 11:07
· Личное сообщение · #13

VodoleY пишет:
валидные пары у меня есть кстати.

может нахер тада анпак? инлайн либо лоадер?



Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 23 ноября 2011 11:19 · Поправил: VodoleY
· Личное сообщение · #14

MasterSoft Задача такова, что надо все сделать в чистом виде. т.е анпак, декрипт и полный отвяз. Это такое ТЗ от заказчика
З.Ы. Ну и мне интересненько побадаца с этим протом. Я так понял Длл ка у него по тому же принципу как и у аспра реализованна
З.Ы.Ы. пока пытаюсь разобраца почему терминейтица процесс под олькой...

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....




Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 23 ноября 2011 13:11
· Личное сообщение · #15

VodoleY пишет:
пока пытаюсь разобраца почему терминейтица процесс под олькой...

Антиотладка, она там простейшая, если, конечно, они не поумнели.

Может скинешь цель в ЛС и валидную пару дашь? Вытащу из ключа кучу инфы, которая может быть ой как полезна... Сохранность гарантирую, у меня чисто практический интерес.



Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 23 ноября 2011 14:09 · Поправил: VodoleY
· Личное сообщение · #16

1. Терминейт процесса таки вызывала сборка ольки
2. взял чистую начала валица сама олька. разобрались, ловля олькиного глюка на ОutputDebugStringA %s%s%s%s....
Кстати кому интересно, очень понравился мануал
--> Link <--
З.Ы. INT меня порвал обьемом информации. Пока перевариваю. Тему пока не закрываю.

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....




Ранг: 13.0 (новичок), 2thx
Активность: 0.030
Статус: Участник

Создано: 23 ноября 2011 22:42
· Личное сообщение · #17

Может кто подскажет прожка radioboss advanced 4.6.0.895 накрыта армой 7.40 c опциями Standard protection or Minimum protection,Import Table Elimination,Code Splicing. При попытки воосттановить импорт занопив мэджик джамп
Cannot find import; DLL may be missing, corrupt, or wrong version
File "armaccess.dll", function "SetDefaultKey" (error 0)
но импорт нe восстановливается.




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 23 ноября 2011 22:47
· Личное сообщение · #18

Потому что при патче магика иметь надо длл в области досягаемости ехе, причём чтоб все нужные функции экспортировались оттуда. Т.е. в старых версиях некоторых функций может и не быть.



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 23 ноября 2011 22:55
· Личное сообщение · #19

Не правильно мэджик джамп нопишь, прога легко распаковывается и без armaccess.dll вообще.



Ранг: 13.0 (новичок), 2thx
Активность: 0.030
Статус: Участник

Создано: 23 ноября 2011 22:57 · Поправил: matrix
· Личное сообщение · #20

Archer
Так арма сама же с ней должна возиться, ну там в папку темп ее распаковывает или в адресное пространство выделенное. Откуда я возьму эту длл? И почему про это в туторах не написано?
Vovan666
как правильно?




Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 23 ноября 2011 23:10
· Личное сообщение · #21

Да, арма длл в памяти разворачивает и смотрит импорт. Если ведёт на армакцесс, то редиректит. Видимо, спатчил выше этого, она будет пытаться её подгрузить, как и обычную либу, не делая нигде в импорте редиректов, включая armaccess. Тогда иметь этот армакцесс рядом надо. Нагуглить длл можно. Или патчить по-другому.

| Сообщение посчитали полезным: matrix

Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 23 ноября 2011 23:11
· Личное сообщение · #22

matrix пишет:
Vovan666
как правильно?

Изучай http://tuts4you.com/download.php?view.2217
Теория уже мильён раз описывалась.

| Сообщение посчитали полезным: matrix

Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 24 ноября 2011 21:45 · Поправил: VodoleY
· Личное сообщение · #23

Vovan666 Archer кстати. вот круто что у нас есть вики своя(много про арму подчерпунл). а почему бы не ссыпать туда линки на туторы, дабы тема подобная этой заканчивалась не гуглей, а сслыкой на вики. Понятно что инфы море, а почему бы не сделать библиотеку
З.Ы, инфа разбросана как всегда и собирать ее по крупицам тоже тяжко

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....




Ранг: 101.0 (ветеран), 344thx
Активность: 1.150
Статус: Участник

Создано: 24 ноября 2011 22:10
· Личное сообщение · #24

VodoleY
Там в основном я описывал ключевые моменты. А что тебе мешает самому вставить ссылки на статьи? Я тоже старался вставлять ссылки с опорными статьями.

Это же вики. И она почти не модерируется...



Ранг: 13.0 (новичок), 2thx
Активность: 0.030
Статус: Участник

Создано: 14 декабря 2011 18:35
· Личное сообщение · #25

Подскажите что этот акое?

Code:
  1. 01BD10E6    68>PUSH 1C674E4                          ; ASCII "Location ES1"


Code:
  1. 01DD13A0    66:0F6F06       MOVQ MM0,QWORD PTR DS:[ESI]
  2. 01DD13A4    66:0F6F4E 10    MOVQ MM1,QWORD PTR DS:[ESI+10]
  3. 01DD13A9    66:0F6F56 20    MOVQ MM2,QWORD PTR DS:[ESI+20]
  4. 01DD13AE    66:0F6F5E 30    MOVQ MM3,QWORD PTR DS:[ESI+30]
  5. 01DD13B3    66:0F7F07       MOVQ QWORD PTR DS:[EDI],MM0
  6. 01DD13B7    66:0F7F4F 10    MOVQ QWORD PTR DS:[EDI+10],MM1
  7. 01DD13BC    66:0F7F57 20    MOVQ QWORD PTR DS:[EDI+20],MM2
  8. 01DD13C1    66:0F7F5F 30    MOVQ QWORD PTR DS:[EDI+30],MM3
  9. 01DD13C6    66:0F6F66 40    MOVQ MM4,QWORD PTR DS:[ESI+40]
  10. 01DD13CB    66:0F6F6E 50    MOVQ MM5,QWORD PTR DS:[ESI+50]
  11. 01DD13D0    66:0F6F76 60    MOVQ MM6,QWORD PTR DS:[ESI+60]
  12. 01DD13D5    66:0F6F7E 70    MOVQ MM7,QWORD PTR DS:[ESI+70]
  13. 01DD13DA    66:0F7F67 40    MOVQ QWORD PTR DS:[EDI+40],MM4
  14. 01DD13DF    66:0F7F6F 50    MOVQ QWORD PTR DS:[EDI+50],MM5
  15. 01DD13E4    66:0F7F77 60    MOVQ QWORD PTR DS:[EDI+60],MM6
  16. 01DD13E9    66:0F7F7F 70    MOVQ QWORD PTR DS:[EDI+70],MM7
  17. 01DD13EE    8DB6 80000000   LEA ESI,DWORD PTR DS:[ESI+80]
  18. 01DD13F4    8DBF 80000000   LEA EDI,DWORD PTR DS:[EDI+80]
  19. 01DD13FA    49              DEC ECX
  20. 01DD13FB    75 A3           JNZ SHORT 01DD13A0




Ранг: 72.1 (постоянный), 30thx
Активность: 0.050
Статус: Участник

Создано: 14 декабря 2011 23:06
· Личное сообщение · #26

matrix пишет:
Подскажите что это такое?

Копирование блоков памяти ECX*0x80 байт длиной. А, что, есть варианты?
Ну лень было людям rep movsD/movsB делать...



Ранг: 617.3 (!), 677thx
Активность: 0.540
Статус: Участник

Создано: 15 декабря 2011 00:05
· Личное сообщение · #27

yagello пишет:
Ну лень было людям rep movsD/movsB делать...

MMX memcopy быстрее работает чем rep movsD

| Сообщение посчитали полезным: DimitarSerg, VodoleY

Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 23 января 2012 21:37 · Поправил: VodoleY
· Личное сообщение · #28

итак. прошел месяц другой. пропили прогуляли, сели за работу. из того что сделано
1. дампер отлаживаемого процесса. криво косо но вроде все сняло
2. полез деморфить спласы. вроде все вычистил вернул чистый код в екзешник. тоже все на костылях но глюков не нашел. надо больше жертв.
3. под дамп попала секция импорта. но чет не так с ней все просто.
теперь внимание вопросы.
1. опыта у мну этом мало, поэтому спрашиваю. Както отреконструировать секции загаженные армой можно?
2. может я не прав, но часть таблицы импорта идет в дллку армы. импорт обычно чистый? или там тоже козни.
3. до наномитов еще не дошел(если есть наработки идеи описания, почитаю с удовольствием)
4. как то можно влезь в дебаг под дебагом. типа потрейсить прогу которую уже отлаживают. олька ясное дело падет при атаче, ибо уже есть дебагер сверху...

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....





Ранг: 2014.5 (!!!!), 1278thx
Активность: 1.340.25
Статус: Модератор
retired

Создано: 23 января 2012 22:26
· Личное сообщение · #29

1. Имеется в виду code splicing? Да чистить хыть шаблонами можно да втыкать на место.
2. Часть импорта редиректится, да. Ещё IAT elimination может испортить IAT.
3. Древние статьи по ним есть, должно быть примерно понятно, что это такое, они с тех пор не менялись. Ходили слухи, что где-то используется другой опкод, кроме CC, но реально никто софта с этим не выкатил, и я так и не видел.
4. Олька не падёт, а откажется просто аттачиться. Можно, если не юзаешь дебагапи.



Ранг: 488.1 (мудрец), 272thx
Активность: 0.350
Статус: Участник

Создано: 23 января 2012 22:35
· Личное сообщение · #30

Archer пишет:
Имеется в виду code splicing?

вычищен. и втыкнуто.
по наномитам общую схему понял, просил примеры наработки. если есть/нежалко
4. т.е по хорошему надо с ядра к нему лезть? сисер или айс?

-----
Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....



. 1 . 2 . >>
 eXeL@B —› Протекторы —› Armadilo (8.0 видимо)
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати