Привет.
Есть два приложения, одно запаковано Armadilo 6.04 другое 7.0
В обоих используется алгоритм который меня очень сильно интересует.
Опыт реверсинга у меня небольшой есть, но вот с протекторами иметь дело не приходилось.
Очень хотелось бы получить распакованный экзешник что бы начать иследовать код.

Подскажите пожалуйста хороший туториал и инструменты что бы снять армадилу любой из этих двух версий.
Спасибо.

| Сообщение посчитали полезным:

попробуй ArmaG3ddon'ом
туторы смотри --> тут <--

| Сообщение посчитали полезным:

nen777w пишет:
Опыт реверсинга у меня небольшой есть, но вот с протекторами иметь дело не приходилось.
В таком случае, времени придется убить Вам изрядно над всякими CopyMem...но тут главное - желание!

Категория must read: https://www.exelab.ru/faq/Armadillo
https://exelab.ru/art/?action=view&id=142

| Сообщение посчитали полезным:

nen777w
Ну дык обязательно снимать ? Можно и кейген сделать, если не лвл10 + к тому же версии не новые, то есть может прокатить ключ, сгенеренный через дыру от NGEN и под лвл10 (под первый серт).
Мой совет - взять на тутсях Armadillo KeyTool и глянуть серты.

-----
ds

| Сообщение посчитали полезным:

DimitarSerg пишет:
Ну дык обязательно снимать ? Можно и кейген сделать, если не лвл10 + к тому же версии не новые, то есть может прокатить ключ, сгенеренный через дыру от NGEN и под лвл10 (под первый серт).
Мой совет - взять на тутсях Armadillo KeyTool и глянуть серты.

Есть не кейген а сброс триала к одному из этих приложений. Но как это мне может помочь. Меня интересует реализация алгоритма а не сама программа.


Jaa пишет:
попробуй ArmaG3ddon'ом

Попробовал. Он распаковывает айл создается, но приложение не запускается. Падает на старте. Но и похоже что не все распаковывает.

[i]Jaa пишет:
туторы смотри --> тут <--

Нашел видео тутор, поробую там при помоши оли вскрывают UnPackMe.exe
Автор на видео говорит. Ставим бряк на OpenMutexA потом F9 и F9 , но у меня приложение останавливается не в том же месте как и у него. Хотя файл над которым он шаманит один и тот же из его же тутора. Оля у меня odbg201g


| Сообщение посчитали полезным:

nen777w
Для начала надо взять Armadillo Find Protected и посмотреть, какие опции использовались при упаковке.

6127_09.04.2013_EXELAB.rU.tgz - Armadillo Find Protected 2.0.rar

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

nen777w пишет:
Ставим бряк на OpenMutexA потом F9 и F9 , но у меня приложение останавливается не в том же месте как и у него.
Ставь еще бряк на VirtualProtect, если после первого OpenMutexA сработает он, значит там нет DebugBlocker и бряк на OpenMutexA ставить не нужно.

| Сообщение посчитали полезным:

Пробую распаковать ArmaG3ddon'ом, он выдает такой месседж бокс:
---------------------------
Ready to dump!
---------------------------
Child PID: 1EDC

OEP VA: 00406BF8
OEP RVA: 00006BF8

Warning: OEP call return VA: 00514151
is not from Armadillo VM!!

---------------------------
ОК Отмена
---------------------------

Нажимаю ок. Сохраняю экзечину.. она больше по размеру, но не запускается.

| Сообщение посчитали полезным:

nen777w пишет:
Нажимаю ок. Сохраняю экзечину.. она больше по размеру, но не запускается.
А вы пробовали сначала сделать то, что порекомендовал ARCHANGEL?
Если да, тогда исходя из лога работы Armadillo Find Protected понятно, что нужно делать дальше.
Если нет, тогда нечего удивляться тому, что .ехе не запускается.

-----
We do what we want because we can.

| Сообщение посчитали полезным:

verdizela пишет:
А вы пробовали сначала сделать то, что порекомендовал ARCHANGEL?
Если да, тогда исходя из лога работы Armadillo Find Protected понятно, что нужно делать дальше.
Если нет, тогда нечего удивляться тому, что .ехе не запускается.

Protected Armadillo
<-Find Protect
Protection system (Professional)
<Protection Options>
Debug-Blocker
CopyMem-II
Import Table Elimination
Strategic Code Splicing
Nanomites Processing
Memory-Patching Protections
<Backup Key Options>
Fixed Backup Keys
<Compression Options>
Best/Slowest Compression
<Other Options>
<-Find Version
Version 7.00 27-10-2009

| Сообщение посчитали полезным:

nen777w пишет:
Нажимаю ок. Сохраняю экзечину.. она больше по размеру, но не запускается.
Что естественно, обычно можно как минимум 3 секции отрезать.

nen777w пишет:
Nanomites Processing
Наномит Фиксером пройдись (обычно в комплекте с Армагеддоном)

-----
ds

| Сообщение посчитали полезным:

DimitarSerg пишет:
Наномит Фиксером пройдись (обычно в комплекте с Армагеддоном)

Спасибо.
Запустил фиксер. Выбрал сдампленный файл потом оригинальный файл. Поправил OEP.
Нажал на Scan Nano, тот дошел до 4672 и упал. в смысле приложение упало.
Сдампленный файл не поменялся.
Есть еще какие то способы или это все?

| Сообщение посчитали полезным:

nen777w пишет:
Есть еще какие то способы или это все?
Для начинающего у тебя попался сложный случай
Strategic Code Splicing
Nanomites Processing
учитывая что тебе нужен алгоритм
то есть два пути:
использовать приватный унпакер, но врятли ты его найдеш
либо просить когото распаковать.
Полюбому чтобы видеть где утебя затык, а не гадать на кофейной гуще
нужно видетьпрогу.

| Сообщение посчитали полезным:

4d1m пишет:
Для начинающего у тебя попался сложный случай
Strategic Code Splicing
Nanomites Processing
учитывая что тебе нужен алгоритм
то есть два пути:
использовать приватный унпакер, но врятли ты его найдеш
либо просить когото распаковать.
Полюбому чтобы видеть где утебя затык, а не гадать на кофейной гуще
нужно видетьпрогу.

Я так понимаю ссылки тут на программу приводить нельзя?
Или можно тут дать ссылку? Может кто то поможет? Если сложно и платно, то я бы заплатил.

| Сообщение посчитали полезным:

nen777w пишет:
Или можно тут дать ссылку?
Можно.

nen777w пишет:
Может кто то поможет? Если сложно и платно, то я бы заплатил.
--> Запросы на взлом программ <--

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным:

ZaZa пишет:
Можно.
выложил тут

ZaZa пишет:
--> Запросы на взлом программ <--
Так то взлом. Я про то что насколько я понял Армадило достаточно дырявый что бы можно было бы сгенерировать ключи не занимаясь распаковкой всей програмы.
Меня же интересует распакованная программа, которую я буду дизасемдлировать в IDA и иследовать не пердмет некоторых алгоритмов использующихся в ней.

| Сообщение посчитали полезным:

Тема закрыта за нарушение п.3+8 правил форума.
И запросы вполне сгодятся. Напиши, что надо только распаковать, и всё.

| Сообщение посчитали полезным: