В общем чисто для себя замутил гибрид Morphine'а и AHPack'а, но думаю стоит эту штуку зарелизить. имхо неплохой протектор получился. А главное FreeWare

URL: reversing.dotfix.net/ghf_protector.rar
Size: 300 kb

Кому как?

PS: сенкс авторам морфина и feuerrader'у за сорцы движков протектора и пакера

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Bad_guy

Гы, я думал Софткей берут процентов 10 от стоимости Так все равно если такой чел у тебя будет, ему все равно надо будет достаточно много платить

| Сообщение посчитали полезным:

GPcH пишет:
Кстати как сорцы? Как прога? Кстати заметил иконку на свою меняет ))
Да не сразу разобрался что к чему. Сырцы отличные.
Видно что FEUERRADER писал лоадера на асме, соорудить сразу на Delphi мало вероятно.

| Сообщение посчитали полезным:

GPcH пишет:
Ну ты распаковать попробуй
1. Снимаем Морфин
На LoadLibraryA -> dump, вырезаем .exe

2. После распаковки секции "берём" импорт, чтобы ImpREC после не юзать

MOV EDX,_IMAGE_BASE                ; ASCII "MZP"

MOV ESI,_ADDR_IAT_START

ADD ESI,EDX

MOV EAX,DWORD PTR DS:[ESI+C]

TEST EAX,EAX

JE 00xxxxxx ;<- jump for get clear import

3. Переход на OEP, dump

PUSH EDX

CALL EAX

POPAD

MOV EDX,_OEP

JMP EDX ;<- jump to OEP

4. Правим заголовок, отрезаем последнюю секцию. Всё...

| Сообщение посчитали полезным:

RideX круто !!!
с тебя статья =))

| Сообщение посчитали полезным:

GPcH пишет:
Ну ты распаковать попробуй
дык распаковал ессно, но защиты там не увидел, потому и спрашиваю...

| Сообщение посчитали полезным:

Black Neuromancer пишет:
Так все равно если такой чел у тебя будет, ему все равно надо будет достаточно много платить
Он будет получать процент от прибыли (например, 50%), которую сам и будет обепечивать.

Black Neuromancer пишет:
Гы, я думал Софткей берут процентов 10 от стоимости
Да, бедные шароварщики - все их отиметь хотят.

-----
Всем не угодишь

| Сообщение посчитали полезным:

Mario555
Сам он просто запакован!Надо им что нибудь запротектить и распаковать.
Но у меня он почему то в таком режиме иконки удаляет, а так файл рабочий, и защита не плохая.
вот - блокнот запротекченный
Я не смог распаковать....

ad4c_notepad.rar

| Сообщение посчитали полезным:

Мой MorphineMustDie снимает и это чудо.

http://exelab.ru/f/action=vthread&forum=1&topic=1885

| Сообщение посчитали полезным:

DWord
Да, и точно снял Но это если Protect only ,а если комбинированный метод ,то не может

776c_notepad.rar

| Сообщение посчитали полезным:

test пишет:
и защита не плохая.
хмм... может я просто не вижу, но в чём защита ? вырезанный файл полностью рабочий, на нём висит пакер, дальше снимаешь пакер и всё. Получается стандартно снять морфин, потом пакер (который кста вроде кроме секции кода ничего не пакует)... вот и где здесь протектор ? =)

| Сообщение посчитали полезным:

Mario555
Блин, да суть не в крутости протектора, а в том, что он free и в сорцах

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Mario555 Не получается у меня с моим http://www.exelab.ru/f/files/776c_notepad.rar
Может что не так делаю? но в EP встать не могу.

| Сообщение посчитали полезным:

GPcH пишет:
free и в сорцах
Возможно глядя на исходники кто-то даже не понимает как это работает, зато на их основе уже может "слепить свой протектор" :-D Так что польза сомнительная...

Морфин не понятно зачем ты сюда прикрутил, это же не протектор, даже не пакер и задачи у него другие =)

test пишет:
Не получается у меня с моим
Так попробуй что-нибудь другое, какую-нибудь нормальную прогу, зачем тебе именно калькулятор нужен?

| Сообщение посчитали полезным:

> Может что не так делаю?

ты напиши что делаешь ;)
а так в принципе делай как RideX написал, должно получится... из-за "специфики" нотепада в вырезанном exe в хеадере всякие "левые" структуры (LoadConfig, Debug и т.п.) убери.

| Сообщение посчитали полезным:

RideX это блокнот - ( мне не до калькулятора Я думал посмотрит кто нить
Мыслей поделится ...а распаковывать не обязательно

| Сообщение посчитали полезным:

test пишет:
Мыслей поделится ...а распаковывать не обязательно
Хмм, я вчера качнул твой блокнот, но было поздно уже. Посмотрел быстренько. Я ставил в ольке бряк на GetProcAddress. Раз 10 брякнулся, посмотрел, как заполняется таблица импорта, Ctrl+T и задал условие EIP is in range 1000000..1014000. Ctrl+F11 и брякнулся на ОЕР

| Сообщение посчитали полезным:

Спасибо!Правда не получилось,ну ладно.Задача упрощается:
вот блокнот запротекченный!И это не ghf_protector.Его я использовал
для прикрытия(Это мой...
Пожат UPXом для компактности.Можно распаковать им же,и попробовать
снять защиту(?).Пока включен только один режим и код не защищен
только антиотладка.Завтра я расскажу о методе
п.с
Если тему не прикроют

| Сообщение посчитали полезным:

test пишет:
вот блокнот запротекченный-и где он?

-----
Само плывет в pуки только то, что не тонет.

| Сообщение посчитали полезным:

test
ты про http://www.exelab.ru/f/files/776c_notepad.rar ? он легко распаковывается ;)
там ещё поле NumberOfRvaAndSizes испорчено

00400174    DEDDFFDF    DD DFFFDDDE          ;  NumberOfRvaAndSizes = DFFFDDDE (-536879650.)

хотя зачём это надо непонятно =) и таких способов (сделать чтобы оля говорила "Bad or unknow format..." ) довольно много.

| Сообщение посчитали полезным:

Mario555 Да точно! Я это и хотел услышать Как всегда- внимательный! Но не способ что бы говорила ,а что бы уйти с EP,
но это только для олли.Пробовал в другом дебагере- это уже не работает.
достаточно поправить NumberOfRvaAndSizes и Loader Flags и вся антиотладка ликвидирована
Спасибо всем!
А GHF Protector все же хороший,потому что проблем не прибавит

| Сообщение посчитали полезным:

test пишет:
А GHF Protector все же хороший,потому что проблем не прибавит
LOL. Не прибавит, т.к. его юзать никто не будет =)

| Сообщение посчитали полезным:

GPcH, плиз перезалей сорцы своего криптора
а то дотфикс.нет в дауне(

| Сообщение посчитали полезным:

Izis, а ты не пробовал сам поискать?



23a9_30.06.2008_CRACKLAB.rU.tgz - ghf.src.zip

| Сообщение посчитали полезным:

Izis пишет:
а то дотфикс.нет в дауне(

Он не в дауне. Просто с сайта я этот прот снес. Вот дубль на васме:

www.wasm.ru/tools/8/ghf_protector.zip

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

сложность средняя? следующие релизы наверное будут комерческими
AHPack v0.1 engine: FEUERRADER это последняя версия?

| Сообщение посчитали полезным:

Headerx пишет:
сложность средняя? следующие релизы наверное будут комерческими

Следующих релизов не будет. Прот делался чисто чтобы народ мог поучиться на исходниках

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Смотрел-смотрел, закрою, пожалуй.

| Сообщение посчитали полезным: