| Сейчас на форуме: (+9 невидимых) |
 |
eXeL@B —› Протекторы —› Armadillo (Туторы, скрипты, плагины etc) |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 13 апреля 2012 17:49 · Поправил: Модератор · Личное сообщение · #1 |
|
|
Создано: 09 февраля 2014 16:43 · Личное сообщение · #2 Siarogka1 пишет: столкнулся с такой проблемой, либа накрыта армой, сдампил, восстановил импорт, при запуске приложения возникает ошибка , говорит, что не может найти одну из экспортируемых этой либой функций. Подскажите, кто знает, как данную проблему пофиксить? Фиксится данная проблема очень легко, надо правильно восстановить импорт.  |
|
|
Создано: 07 июня 2014 18:26 · Личное сообщение · #3 Starting on January 1, 2013, Software Passport terminated all sales for the Software Passport product lineup. Beginning on July 1, 2014, we will be removing the Software Passport website. In the near future, Software Passport will not be supported. Thanks for your support of Software Passport over the years. The Software Passport Team Доигрались.... |
|
|
Создано: 08 июня 2014 00:15 · Личное сообщение · #4 да и хрен с ним. нормально бы развивал детище, и ореанса, и вм-вани-задрота не было бы ----- От многой мудрости много скорби, и умножающий знание умножает печаль |
|
|
Создано: 10 июня 2014 21:26 · Личное сообщение · #5 ajax пишет: да и хрен с ним. нормально бы развивал детище, и ореанса, и вм-вани-задрота не было бы год- два, аспродукт, похоже, постигнет та де учесть... а жаль... |
|
|
Создано: 10 июня 2014 23:03 · Личное сообщение · #6 BoOMBoX пишет: год- два, аспродукт, похоже, постигнет та де учесть... а жаль... год- два назад его постигла эта участь |
|
|
Создано: 11 июня 2014 00:26 · Личное сообщение · #7 Vovan666 пишет: год- два назад его постигла эта участь Ну я не об этом,арма тоже давно загнулась, я о том, что официально проекты закрываются |
|
|
Создано: 13 июня 2014 09:45 · Личное сообщение · #8 Вся проблема в том, что главная цель любых DRMистов - загребсти как можно больше бабла $$$ любой ценой. В то время, у труъ крекеров-пиратов деньги играют второстепенную роль... ими движет идея, что принципиально сильнее всего остального  Посему, DRM никогда не победит пиратство. | Сообщение посчитали полезным: sivorog, yanus0 |
|
|
Создано: 26 июля 2014 19:39 · Личное сообщение · #9 Рассматриваемая программа содержит DLL, которая упакована Armadillo. После распаковки этой DLL Армагеддоном появилась ошибка иницилизации IMM32.dll. Эта библиотека подгружается динамически из USER32.dll. Возможно, эта ошибка наводится таблицей IAT из этой DLL программы. ImpREC показывет много лишнего в IAT. Удаляю перемешенные из разных библиотек и ненужные к тому же функции, сохраняю для дампа галку "Add new section", ImpREC создает дамп DLL с новой секцией ".mackt", но управление на эту секцию не передает. Беру какую-нибудь API в коде, видно, обращение идет к адресам старой и, конечно, не исправленной IAT. Может кто подскажет, что здесь можно сделать? Заранее спасибо! |
|
|
Создано: 26 июля 2014 23:12 · Поправил: Vovan666 · Личное сообщение · #10 ksol пишет: После распаковки этой DLL Армагеддоном С каждой новой версией + Updated Arteam Import Reconstructor (Nacho_dj) и все хуже и хуже он работает. ksol пишет: но управление на эту секцию не передает. Релоки не восстановил скорее всего. Скинь в личку жертву, посмотрю. | Сообщение посчитали полезным: ksol |
|
|
Создано: 27 июля 2014 18:56 · Личное сообщение · #11 Спасибо! Восстановил IAT ! Все аккуратно, начиная с заголовка, таблицы IT, прогнал - и все ОК! А то я начинал непосредственно с IAT'a. и неправильно определил её границы. Зря я грешил на ImpREC - она всё делает правильно и с DLL ! Но ошибка с загрузкой IMM32.DLL как вылетала, так и продолжает вылетать. Место в USER32.dll, где идет обращение к LoadLibraryW видно, видно дальше обращение к ntdll.RtlRaiseException с установкой "DLL INIT FAILED". и на следующем исключении - всё, программа закрывается. И всё это делается до прихода в ОЕР. Как будто, есть какая-то функция API, в которой это всё запрограммировано. |
|
|
Создано: 27 июля 2014 19:18 · Поправил: Vovan666 · Личное сообщение · #12 ksol пишет: видно дальше обращение к ntdll.RtlRaiseException старая бага, при восстановлении импорта в импреке найди аналог любой функции из ntdll в kernel32 и замени ее , потом 2 раза восстанови импорт в одном и том же дампе. |
|
|
Создано: 28 июля 2014 17:34 · Личное сообщение · #13 Vovan666 Да, предложения не тривиальные! Нельзя ли уточнить их? аналог любой функции из ntdll в kernel32 - например!(адреса- то у них постоянные) потом 2 раза восстанови импорт в одном и том же дампе - это как? Стереть дамп, а потом делать по новой? Или последовательно - делать дамп дампу. То есть, когда в файле будет две дополнительные секции ".mackt" ? Первая будет тогда просто болтаться! |
|
|
Создано: 29 июля 2014 02:18 · Личное сообщение · #14 Да в общем-то в какой-то кастомной версии импрека (по моему 1.7e) это пофиксено. ksol мне кажется проще восстановить импорт Scylla. Как минимум будет возможность сравнить два дампа | Сообщение посчитали полезным: ksol |
|
|
Создано: 29 июля 2014 18:50 · Личное сообщение · #15 Djeck А вы ссылку на Scylla ImpRec не дадите? |
|
|
Создано: 29 июля 2014 19:22 · Личное сообщение · #16 ksol пишет: аналог любой функции из ntdll в kernel32 - например!(адреса- то у них постоянные) ntdll.RtlRaiseException ->kernel32.RaiseException ksol пишет: потом 2 раза восстанови импорт в одном и том же дампе - это как? Стереть дамп, а потом делать по новой? Или последовательно - делать дамп дампу. То есть, когда в файле будет две дополнительные секции ".mackt" ? Первая будет тогда просто болтаться! Есть у тебя dump.exe вот на него 2 раза и натрави, dump_.exe после первого прохода удали или не трогай вообще, там в логе вроде будет как все из ntdll преобразуется в кернел. |
|
|
Создано: 30 июля 2014 09:19 · Личное сообщение · #17 ksol пишет: Но ошибка с загрузкой IMM32.DLL как вылетала, так и продолжает вылетать. Место в USER32.dll,где идет обращение к LoadLibraryW видно, видно дальше обращение к ntdll.RtlRaiseException сустановкой "DLL INIT FAILED". и на следующем исключении - всё, программа закрывается. И всёэто делается до прихода в ОЕР. Как будто, есть какая-то функция API, в которой это всё запрограммировано. Зачем восстанавливать импорт при помощи утилит, которые его неверно восстанавливают, затем неправильно восстановленный переделывать, в тот как вам кажется правильный. Если вы распаковываете в ручную, почему сразу не вернуть родной импорт который был до упаковки. |
|
|
Создано: 30 июля 2014 19:51 · Личное сообщение · #18 4d1m почему сразу не вернуть родной импорт Я имею IAT только упакованного файла и распакованного и они оба для меня родные! ------------------------------------------------------------- Vovan666 Есть у тебя dump.exe вот на него 2 раза и натрави А dump.exe - это результат Армагеддона? при восстановлении импорта в импреке найди аналог любой функции из ntdll в kernel32 и замени ее Манипуляция ntdll.RtlRaiseException ->kernel32.RaiseException выполняется в верхнем окне ImpREC'a ? Или это делать в OllyDbg, сцепленном с ImpREC'ом ? --------------------------------------------------------------- 4d1m, Vovan666 Технический вопрос: Как вам удаётся писать синим цветом? |
|
|
Создано: 02 августа 2014 02:08 · Личное сообщение · #19 ksol пишет: А dump.exe - это результат Армагеддона?  ksol Выделяешь текст поста и нажимаешь ссылку "Цитата" в верхней части поста. Тег [i] Добавлено: Создано: 3 августа 2014 19:14:30 · IP: Цитата · Личное сообщение · Правка · Стереть · Бан · #20 int - спасибо! В панели инструментов у меня нет кн."Цитата". Есть "код", "ссылка на картинку", "вставить ссылку" и кн. форматирования. Вручную набрал тег [i]. ---------------------------------------------------------------------------------------------- От использования ImpREC и Scylla отказался. Оставил в программе результат Armageddon'a, который он пишет как dump_.dll . Ошибка иницилизации imm32.dll никуда не делась! А это что по-твоему? | Сообщение посчитали полезным: ksol |
|
|
Создано: 03 августа 2014 19:14 · Личное сообщение · #20 int - спасибо! В панели инструментов у меня нет кн."Цитата". Есть "код", "ссылка на картинку", "вставить ссылку" и кн. форматирования. Вручную набрал тег [i]. ---------------------------------------------------------------------------------------------- От использования ImpREC и Scylla отказался. Оставил в программе результат Armageddon'a, который он пишет как dump_.dll . Ошибка иницилизации imm32.dll никуда не делась! |
|
|
Создано: 03 августа 2014 19:34 · Поправил: Vovan666 · Личное сообщение · #21 ksol Либо я туплю, Либо одно из двух, ты не разу не написал, что пользовался отладчиком, доходил до ОЕП и потом дампил, приделывал импорт и т.д. Тоесть ты пытаешся сделать все со слов форума "профессианалов" и даже не представляешь какие софтины для чего нужны, и тупо жмешь пимпу анпак в армагедоне? Кинь в личку свою длл-ку, посмотрю и даже распакую. |
|
|
Создано: 04 августа 2014 15:15 · Личное сообщение · #22 Vovan666 и даже не представляешь какие софтины для чего нужны - ну не совсем уж так! и тупо жмешь пимпу анпак в армагедоне? - это да, а что с ней ещё делать? А длл-ку и программу в целом сам хочу разобрать. Спасибо за предложение! ---------------------------------------------------------------------------------------------------- После остановки на System BP и до сообщения об ошибке программа обращается вот к этой DLL . Я хотел бы найти что побуждает запуск LoadLibraryW c imm32.dll |
|
|
Создано: 19 августа 2014 13:50 · Личное сообщение · #23 Спи мертвым сном, подруга Armadillo! А мы пока добили Unsigned ключи. Атака грубым перебором завершилась за 3 дня на 5 машинах с процессорами Core i5, Core i7. Можно было и быстрее, т.к. алгоритм оптимизировался в процессе работы. Если хватит сил, напишу статью о том, как это было сделано. Если нет, просто открою доступ к SVN в read-only для всех.  Code:
P.S. 13 сертификатов это серьезно. | Сообщение посчитали полезным: VodoleY, v00doo, Jupiter, Isaev |
|
|
Создано: 19 августа 2014 17:14 · Личное сообщение · #24 int пишет: А мы пока добили Unsigned ключи. Атака грубым перебором завершилась за 3 дня на 5 машинах с процессорами Core i5, Core i7. Можно было и быстрее, т.к. алгоритм оптимизировался в процессе работы. Чтож поздравляю, большей скачек вперед, помнится мне у некоторых товарищей эта процедура на одном Р100 занимала 5 минут. |
|
|
Создано: 19 августа 2014 17:34 · Личное сообщение · #25 4d1m Вы точно не путаете атаку на Usigned ключи и атаку на Secured Sections? Слюной не захлебнитесь от сарказма. P.S. И кстати во времена P100 алгоритм был проще. И что-то когда vel выкладывал свой крекми с Unsigned ключом, его никто из "тех товарищей" не взломал. | Сообщение посчитали полезным: DimitarSerg, tihiy_grom |
|
|
Создано: 19 августа 2014 19:32 · Личное сообщение · #26 Я полагаю вам несложно выложить пример над которым вы бились |
|
|
Создано: 19 августа 2014 19:37 · Личное сообщение · #27 http://www.eurosoccer.kh.ua/files/Install.rar |
|
|
Создано: 19 августа 2014 19:55 · Личное сообщение · #28 4d1m И сейчас на нас посыпятся ключи, конечно же. Только что это будет? Понт, что вы можете быстрее? Кому это интересно? Я выкладываю статьи, которые отражают МОЮ работу, выкладываю исходники, над которыми Я работал. И делаю это не для зарабатывания славы, ни ради денег, а просто потому что мне это интересно. И мне интересно делиться своей работой. Но в эту тему постоянно заходят все новые люди, которые пытаются мне доказать, что я идиот. Между тем, у этих людей в профиле ярко выражен интерес только в Armadillo. Может если бы я занимался армой день и ночь, я бы узнал дзенский секрет быстро ломать Unsigned ключи, но смысла в этом нет. Прот умер, а я сделал это и доказал это кодом. И дальше я буду заниматься виртуальными машинами, как и раньше, когда помогал Vamit'у с его декомпилем. Тогда энтузиазма не хватило, и мы с ним разошлись. А армадила умрет вместе с вами, как реверсерами, если ни на что другое вы не способны. Или для других защит у вас другие ники? От вас же я постоянно только и слышу "у vel'а была утилита, которая все делала одним кликом", "не моя задача выкладывать приват на паблик". Ключевые слова здесь vel и приват. Вы не можете показать то, что сделали вы сами, а не vel. Сидите там в своем привате и приговаривайте "моя прелесть", как гоблин из Властелина колец. А благодаря таким реверсерам как я и Mr.eXoDiA арма умерла и будут умирать другие протекторы. И ваш приват на фиг кроме вас никому не нужен. Приват это синоним слова "трусость". Трусость выиграть открытую войну с разработчиками защиты, трусость не заработать денег в Запросах на взлом, ибо другие это тоже будут уметь. Хотите соревнования - покажите, что сделали вы. | Сообщение посчитали полезным: sivorog, Djeck, daFix, CyberGod, Valemox, hlmadip, gazlan, Horna, v00doo, Kindly |
|
|
Создано: 22 августа 2014 18:14 · Личное сообщение · #29 Буду признателен за пару мишеней с Unsigned ключами. Над статьей начну работать уже завтра. Какие планы входят в эту статью: 1. Теория разработчиков. Детальный разбор схемы защиты ключами, какие бывают ключи, уровни и прочая вода. 2. Теория крекеров. Детальная информация о том, как на самом деле происходит защита ключами. Обзор старой схемы контрольных сумм (которые ломаются в программах armabrut и armabrut_mod с SVN), массива публичных ключей, сертификатов и ключах, которые хранятся в сертификатах. Обзор функции упаковки программы на примере распакованной мной и Арчером версии 3.00. Обзор дыры (слив в публичный доступ), связанной с генератором случайных чисел. Как раз то, что ломается за 10 минут на P100. 3. Теория оптимизации. Будет представлен исходный алгоритм реализованный на языке Си++. Описание оптимизации, связанной со структурой сертификатов (расшифровывать нужно только первые 8 байт). Описание оптимизации, связанной с экономией операций умножения и деления. Rainbow таблицы на x64 битной архитектуре (на 32-битной не хватит памяти). Описание оптимизации алгоритма TEA и алгоритмов генерации таблиц (векторизация и разворачивание циклов). Описание оптимизации, связанной с вырождением полезных бит буфера (буфер не обязательно заполнять симметричным ключом). Эксперимент по уменьшению кол-ва итераций цикла генерации буфера для MD5. И финальная оптимизация - использование OpenMP для распараллеливания брута на потоки. 4. Примеры реальных взломов. Нужно больше реальных примеров. Итого, здесь публикуется приватная дыра, связанная с временем упаковки файла. Рассматриваются все, что связано с шифрованием в Armadillo. И как это можно взломать. Сюда войдет никогда не опубликованная раннее моя статья по Armadillo версии 3.00. Ее остается просто дописать и дополнить новыми результатами. Если SaNX позволит, опубликую еще с сохранением авторских прав за ним атаку на пароли сертификатов вместе с дырой. У каждого сертификата в качестве дополнительной опции еще может быть пароль на запуск программы. Забегая вперед, хочу сказать, что следующий к реализации проект - мой старый проект атаки на EncryptionTemplate. На этот раз предполагается атака не через словари, а через распределенный брутфорс на алгоритм MD5 с помощью OpenCL. Ghandi делал такой брутфорс и он давал результат ~80 секунд на пароли длиной 6 символов. |
|
|
Создано: 22 августа 2014 18:39 · Личное сообщение · #30 Прошу прощения за темность в вопросе ключей для армы, но вот жертва http://www.binary-soft.com/dll2lib/d2l.exe , с которой пришлось столкнутся с этим богомерзким пакером(втупую снять утилью армагеддон не срослось). Хоть и создает lib из диелелок, но както не очень вменяемо, для такого прайса (виноват ли демо-режим, в котором подставляеться левый стаб с нагскрином из экспортируемой функи.. или оно само по себе такое каличное непонятно).. |
|
|
Создано: 22 августа 2014 22:45 · Личное сообщение · #31 microxa Два серта, первый DEFAULT с ключом D86B2BD5. Второй тоже Unsigned. P.S. SaNX дал добро, так что в статье будет все, что заявлено! | Сообщение посчитали полезным: _FUCKER_, droidische |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . 8 . 9 . >> |
|
eXeL@B —› Протекторы —› Armadillo (Туторы, скрипты, плагины etc) |
Для печати