Эээ, ну вобщем нужда заставила заняться тем чего я года два уже не делал - распаковать сабж ручками. Без удивления обнаружил что прогресс не стоит на месте - это чудовище сраслось в дельфевой прогой в единое целое Перестраивалку замангленного импорта/таблицы инициализаций сделал на одном дыхании, а вот с точкой входа беда - добрый десяток rtl функций и то что было отмечено маркерами превращено в метаморфную кашу. Понятно что все это можно сдампить и приклеить к имаджу и после обточки напильником это вероятно будет даже работать, но нет ли более кошерного способа с этим бороться??? Потом можно будет сделать эмулятор для сворачивания этого трэша в нормальный код, но сейчас на это нет время.

| Сообщение посчитали полезным:

Киньте кто-нить на мыло кусок полиморфного кода от аспра 1.3х. Можно без оригинала, главное сам выдранный полиморф. Только цельным куском, не надо обрезков.
А то сколько не скачивал аспр, всё голые .ехе попадается, ни доков, ни примеров.
urquan$bk.ru

| Сообщение посчитали полезным:

Inferno[mteam] пишет:
Я не знаю, что там главное, а что нет. Просто посмотри сюда:
Вот как старфорс эмулит mov:
Эээ.. это собственно выдранная часть его VM - и очень кстати старенький код чегой-то.. ну да ладно.

А теперь попробуй не согласиться, что аспру далеко до старфорса в эмуляции команд
Я бы сравнил, конечно, если бы Солодовников реализовал VM в аспре .. кстати там есть VM, ты видимо её ещё не наёшёл , но она не совсем полноценная - всего для некоторых инструкций, так что и её сравнивать нельзя. И у меня закрадываются сомнения что после таких постов здесь он её обязательно реализует

Что касается остальных вопросов, ты крякер или кто вообще? Залезь с отладчиком и посмотри на этот полиморф, многие вопросы отпадут сами собой.
Гы всё ясно.
Ты не обращай внимания на мои вопросы pls - реализуй эту тулзу! я тебе первый спасибо скажу, как, наверно, и мноогие другие здесь ...

| Сообщение посчитали полезным:

Предложение для особо недоверчивых можно провести небольшой эксперимент:
написать, скажем на С несколько(скажем 3) небольших программок.
Первая - без вложенных call, и без условных переходов. Просто арифметические операции какие-нибудь.
Вторая - без вложенных call, но с условными переходами.
Третья - переходы, вложенные call.

Обработать их аспром 1.31 без опций защиты, но с метками для полиморфа.

А я попробую восстановить исходный код(пока вручную) и запощу сюда.
Только не пишите монстрообразных прог, у меня и так мало времени, чтобы его тратить.

p.s. Да, после недавнего поста с прогой для форматирования винта, у меня еще больше увеличилось
недоверие к прогам из инета, так что пусть программки запостят люди, которым я доверяю:
Dr.Golova, ssx, Mario555, nice, Asterix.

| Сообщение посчитали полезным:

Inferno[mteam] пишет:
Только не пишите монстрообразных прог, у меня и так мало времени, чтобы его тратить.

Зачем вообще тратить на это время приступай сразу к тулзе.. ? ах да - у тебя так мало времени ..

ps. Сори, не удержался. Просто на будущее хотя бы не пиши то, в чём не разбираешься. Если бы я такое предложение от Dr. Golova`ы услашал и то наверное засомневался - времени на разработку теории нужно слишком много, и всё равно не будет покрытия всех case`ов полиморфа. Так что об generic восстановщике даже заикаться имхо глупо.

| Сообщение посчитали полезным:

evix
evix пишет:
Просто на будущее хотя бы не пиши то, в чём не разбираешься.
evix пишет:
времени на разработку теории нужно слишком много, и всё равно не будет покрытия всех case`ов полиморфа.
Похоже единственный, кто не разбирается - это ты.

| Сообщение посчитали полезным:

так, ребята, ВСЁ! Хватит устраивать бессмысленных дискуссий. Весь гон пожалуйста в ПМ.

-----
once you have tried it, you will never want anything else

| Сообщение посчитали полезным:

Могу неавторитетно заявить, что 3/4 метаморфного кода можно свернуть даже без эмуляции. 1:1 конечно не получится, так что сваливать все придется всеравно в отдельную секцию. Но это ж надо неделю-другую потратить на написание тулзы - лениво ради одной проги

| Сообщение посчитали полезным:

Гы, я когда-то вручную пытался свернуть метаморф на аспре 1.23 RC4, вроде такая версия,
получил листинг отключив окно кода в SoftIce, потом вырезал все ненужные jmp и CALL,
далее пытался вручную анализировать, короче оказалось проще найти более раннюю
версию этой проги с чуть более ранним АСПром и подсмотреть спертые байты там
лишь немного подкорректировав их под эту версию проги =)

| Сообщение посчитали полезным:

DrGolova пишет:
Могу неавторитетно заявить, что 3/4 метаморфного кода можно свернуть даже без эмуляции.

я ж говорю - после некоторой возни с этим полиморфом, начинаешь понимать, что делает код даже без расчистки
а еще - можно в сам аспр заглянуть и понять механизмы формирования этого полиморфа...

| Сообщение посчитали полезным:

Восстановить код из полиморфа (с ВМ) реально. stephenteh (на форуме exetools тусуется) восстанавливает код до оригинального размера (в секцию кода нормально влезает). У меня есть его мини тутор по этому поводу, тока мне моего скрипта для автоматического восстановления комманд из ВМ (и импорта, и спёртой таблицы инита) хватает Кому нужно стучитесь в приват, но дам очень немногим...

| Сообщение посчитали полезным:

sanniassin пишет:
stephenteh (на форуме exetools тусуется) восстанавливает код до оригинального
програмно ?

| Сообщение посчитали полезным:

Mario555 пишет:
програмно ?
неа, ручками к сожалению

| Сообщение посчитали полезным: