Сейчас на форуме: (+7 невидимых) |
![]() |
eXeL@B —› Протекторы —› Armadilo (8.0 видимо) |
. 1 . 2 . >> |
Посл.ответ | Сообщение |
|
Создано: 22 ноября 2011 17:04 · Поправил: VodoleY · Личное сообщение · #1 Добрый день уважаемые. Попалась под руки прога, накрытая этим вот творением. До этого никогда с ним дел не имел. Первое, что сделал, покурил мануалы и попробовал стандартные утили Армагидон вроде чет распаковал, но бред.AI 0.9.5b определил армагу и отчитался о 8,0 версии. Тоже чет попытался с прогой сделать, тоже неудачно. Но общую картину описал как Compression level: Best/Slowest * Protection Options * CopyMem-II & Debug Blocker Enable Import Table Elimination Enable Strategic Code Splicing Enable Nanomite Processing Enable Random PE Names Полез во внутрь. Да, Debug Blocker на OpenMutexA таки поймался, при вызове VirtulaProtect просмотрел я как на длл, и секции ставяться новые права доступа (чтение/запись) , обещенных Push xxxx на возврате не наше, но вызовы армовой длл на функи dllEntryPoint и SetFunctionAdress нашлись немного ниже по коду. Вопрос первый. Есть ли мануалы по 8.0 версии (а вдруг, чтоб я никого не тревожил). Вопрос два. Пока проблема в том, что при вызове SetFunctionAdress идет терминейт процесса (работал на хардварных бряка) это меня гдето антидебаг палит или црц? вроде треады не создаюца или я чегото пропускаю. PS наврал, создания потока я таки пропустил. Хм. после создания потока, вайтфорсингл обжект терминейтит процесс. Может ктото рассказать побольше об функционале длл армы? ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... ![]() |
|
Создано: 22 ноября 2011 21:13 · Личное сообщение · #2 |
|
Создано: 22 ноября 2011 22:26 · Личное сообщение · #3 |
|
Создано: 22 ноября 2011 23:26 · Личное сообщение · #4 |
|
Создано: 22 ноября 2011 23:45 · Личное сообщение · #5 VodoleY Вся проблема в том, что как верно заметил matrix, туторов сколько хочешь. Лень переписывать тонны теории, которая существует по арме. С конкретной целью можно поиграться, а так флудить попусту нет смысла. Не говоря уже о том, что ты можешь иметь дело с кастомным билдом (а в них могут быть элементы защиты, которые никогда нигде больше не объявятся). ![]() |
|
Создано: 23 ноября 2011 01:47 · Личное сообщение · #6 VodoleY пишет: Первое, что сделал, покурил мануалы и попробовал стандартные утили ![]() ![]() |
|
Создано: 23 ноября 2011 02:03 · Личное сообщение · #7 |
|
Создано: 23 ноября 2011 02:57 · Поправил: mysterio · Личное сообщение · #8 Киньте плиз линк на последний Armadillo Find Protected и что-нибудь аналогичное ему. В туторе выше юзают ArmAccess.dll v8.0 (к тутору к стати не приложено), если у кого-нить завалялись эти дллки v4.x-v8.x залейте тоже куда-нить. Johnny Mnemonic Это уже еcть но все-равно спасиба ;) ----- Don_t hate the cracker - hate the code. ![]() |
|
Создано: 23 ноября 2011 03:18 · Личное сообщение · #9 Armadillo Find Protected 2.0 ![]() ![]() |
|
Создано: 23 ноября 2011 03:29 · Личное сообщение · #10 |
|
Создано: 23 ноября 2011 04:14 · Поправил: Модератор · Личное сообщение · #11 ты говаришъ Armadillo Find Protected и что-нибудь аналогичное ему в паблике тока две тулзы ArmAccess.dll на... оно табе пеши свой От модератора: Без выражений пожалуйста! ![]() ![]() |
|
Создано: 23 ноября 2011 11:03 · Личное сообщение · #12 MasterSoft спасибо ща гляну, hlmadip спасибо. чет я его сразу не нашел. ну вобщем инфа таже <-Find Protect Protection system (Professional) <Protection Options> Debug-Blocker CopyMem-II Import Table Elimination Strategic Code Splicing Nanomites Processing <Backup Key Options> Variable Backup Keys <Compression Options> Best/Slowest Compression <Other Options> Use Digital River Edition Keys <-Find Version Version 8.00 01-10-2010 Сегодня забурюсь поглубже и еще раз пороюсь в мануалах.. тут гдето в соседней ветке ктото мувики собирать про арму начинал, но его обложили и дали ссыль на гугулю ![]() ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... ![]() |
|
Создано: 23 ноября 2011 11:07 · Личное сообщение · #13 |
|
Создано: 23 ноября 2011 11:19 · Поправил: VodoleY · Личное сообщение · #14 MasterSoft Задача такова, что надо все сделать в чистом виде. т.е анпак, декрипт и полный отвяз. Это такое ТЗ от заказчика З.Ы. Ну и мне интересненько побадаца с этим протом. Я так понял Длл ка у него по тому же принципу как и у аспра реализованна З.Ы.Ы. пока пытаюсь разобраца почему терминейтица процесс под олькой... ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... ![]() |
|
Создано: 23 ноября 2011 13:11 · Личное сообщение · #15 VodoleY пишет: пока пытаюсь разобраца почему терминейтица процесс под олькой... Антиотладка, она там простейшая, если, конечно, они не поумнели. Может скинешь цель в ЛС и валидную пару дашь? Вытащу из ключа кучу инфы, которая может быть ой как полезна... Сохранность гарантирую, у меня чисто практический интерес. ![]() |
|
Создано: 23 ноября 2011 14:09 · Поправил: VodoleY · Личное сообщение · #16 1. Терминейт процесса таки вызывала сборка ольки 2. взял чистую начала валица сама олька. разобрались, ловля олькиного глюка на ОutputDebugStringA %s%s%s%s.... Кстати кому интересно, очень понравился мануал З.Ы. INT меня порвал обьемом информации. Пока перевариваю. Тему пока не закрываю. ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... ![]() |
|
Создано: 23 ноября 2011 22:42 · Личное сообщение · #17 Может кто подскажет прожка radioboss advanced 4.6.0.895 накрыта армой 7.40 c опциями Standard protection or Minimum protection,Import Table Elimination,Code Splicing. При попытки воосттановить импорт занопив мэджик джамп Cannot find import; DLL may be missing, corrupt, or wrong version File "armaccess.dll", function "SetDefaultKey" (error 0) но импорт нe восстановливается. ![]() |
|
Создано: 23 ноября 2011 22:47 · Личное сообщение · #18 |
|
Создано: 23 ноября 2011 22:55 · Личное сообщение · #19 |
|
Создано: 23 ноября 2011 22:57 · Поправил: matrix · Личное сообщение · #20 |
|
Создано: 23 ноября 2011 23:10 · Личное сообщение · #21 Да, арма длл в памяти разворачивает и смотрит импорт. Если ведёт на армакцесс, то редиректит. Видимо, спатчил выше этого, она будет пытаться её подгрузить, как и обычную либу, не делая нигде в импорте редиректов, включая armaccess. Тогда иметь этот армакцесс рядом надо. Нагуглить длл можно. Или патчить по-другому. ![]() |
|
Создано: 23 ноября 2011 23:11 · Личное сообщение · #22 matrix пишет: Vovan666 как правильно? Изучай http://tuts4you.com/download.php?view.2217 Теория уже мильён раз описывалась. ![]() |
|
Создано: 24 ноября 2011 21:45 · Поправил: VodoleY · Личное сообщение · #23 Vovan666 Archer кстати. вот круто что у нас есть вики своя(много про арму подчерпунл). а почему бы не ссыпать туда линки на туторы, дабы тема подобная этой заканчивалась не гуглей, а сслыкой на вики. Понятно что инфы море, а почему бы не сделать библиотеку З.Ы, инфа разбросана как всегда и собирать ее по крупицам тоже тяжко ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... ![]() |
|
Создано: 24 ноября 2011 22:10 · Личное сообщение · #24 |
|
Создано: 14 декабря 2011 18:35 · Личное сообщение · #25 Подскажите что этот акое? Code:
Code:
![]() |
|
Создано: 14 декабря 2011 23:06 · Личное сообщение · #26 |
|
Создано: 15 декабря 2011 00:05 · Личное сообщение · #27 yagello пишет: Ну лень было людям rep movsD/movsB делать... MMX memcopy быстрее работает чем rep movsD ![]() |
|
Создано: 23 января 2012 21:37 · Поправил: VodoleY · Личное сообщение · #28 итак. прошел месяц другой. пропили прогуляли, сели за работу. из того что сделано 1. дампер отлаживаемого процесса. криво косо но вроде все сняло 2. полез деморфить спласы. вроде все вычистил вернул чистый код в екзешник. тоже все на костылях но глюков не нашел. надо больше жертв. 3. под дамп попала секция импорта. но чет не так с ней все просто. теперь внимание вопросы. 1. опыта у мну этом мало, поэтому спрашиваю. Както отреконструировать секции загаженные армой можно? 2. может я не прав, но часть таблицы импорта идет в дллку армы. импорт обычно чистый? или там тоже козни. 3. до наномитов еще не дошел(если есть наработки идеи описания, почитаю с удовольствием) 4. как то можно влезь в дебаг под дебагом. типа потрейсить прогу которую уже отлаживают. олька ясное дело падет при атаче, ибо уже есть дебагер сверху... ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... ![]() |
|
Создано: 23 января 2012 22:26 · Личное сообщение · #29 1. Имеется в виду code splicing? Да чистить хыть шаблонами можно да втыкать на место. 2. Часть импорта редиректится, да. Ещё IAT elimination может испортить IAT. 3. Древние статьи по ним есть, должно быть примерно понятно, что это такое, они с тех пор не менялись. Ходили слухи, что где-то используется другой опкод, кроме CC, но реально никто софта с этим не выкатил, и я так и не видел. 4. Олька не падёт, а откажется просто аттачиться. Можно, если не юзаешь дебагапи. ![]() |
|
Создано: 23 января 2012 22:35 · Личное сообщение · #30 |
. 1 . 2 . >> |
![]() |
eXeL@B —› Протекторы —› Armadilo (8.0 видимо) |