Периодически заглядываю в тему "Запросы на взлом программ" и вот на днях обнаружил чудо природы
http://exelab.ru/f/action=vthread&forum=2&topic=21832&page=19#9
Я не разбираюсь в названиях обфускаторов))) поэтому не знаю что это за протектор. Да это и не важно.
Программа вроде бы написана на C# а с ней dll`ка с unmanadged кодом.
Если открыть программу декомпилятором Net видим что тела методов перегружены мусорными инструкциями и насколько я могу судить вообще на этом этапе не содержат скольнибудь работающих инструкций.
Естественно пошел легким путем: деобфускаторы не берут)) но мы как говориться трудностей не боимся))
Удаление мусорных инструкции ничего не дало код лучше не стал
Натравил на прогу universal fixer и тут господа о чудо после ее работы код преобразился... но КАК
все тела методов стали содержать всего одну инструкцию ... RET. Каково)))
Сами понимаете что так быть не должно... вернее конечно теоритически возможно запатчить mscoree воткнуть туда свой обработчик кода .... но где же сам код.. господа???
В этой самой dll??? фиг знает как же прекомпиляция и все такое...
Нет чето не то....
Есть еще один вероятный способ что тела методов скажем как нибудь заархивированы и то что мы видим и думаем что это мусорные инструкции таковым не является.
Копнув дальше... дальше больше))) при запуске приложения мы вообще не попадаем в метод Start() прям сразу стартует метод load из самой dll при этом ни одной строчки кода из NET приложения не выполнялось... по ходу юзается TSL загрузчик. ... Подзабыл я однако x86 натив)))
Вообщем кому интересно помогите разобраться с принципами работы защиты и особенно передачи управления от exe к dll и обратно.
Как бонус от себя))) кто поможет отдам в хорошие руки приватную версию SAE декомпилятора с функционалом которого еще не было на публике))) ... и не будет

| Сообщение посчитали полезным:

Речь про CIC & NBT? Если да, то это шел от "Feitian Technologies Co". Как работает в деталях не расскажу - я новые версии не видел давно уже. В очень старых был просто загрузчик + декриптор.

-----
старый пень

| Сообщение посчитали полезным:

В первом приближении очень похоже на хук JIT, по этой теме есть "классическая" --> статья <--

| Сообщение посчитали полезным:

Medsft, не в курсе, чем SAE так не понравилась гуглу и почему он удалил со своего хостинга эту замечательную программу? Есть ли новая страница у программы?

| Сообщение посчитали полезным:

Речь идет о программе для обновления навигационных карт.

| Сообщение посчитали полезным:

HaRpY статью читал но в данном случае не понял как запускается иньектор.Покажи плиз наглядно

| Сообщение посчитали полезным:

Medsft пишет:
HaRpY статью читал но в данном случае не понял как запускается иньектор.Покажи плиз наглядно
Да уж, видимо native действительно подзабыт .
В .Net методах этой сборки загрузки runtime.dll не наблюдается, но в обычном PE-импорте она прописана вместе с mscoree.dll. Такой вот инжект.
Подробностей работы runtime.dll я тоже не знаю, но использование HID.dll предполагает работу с USB девайсом. Сам заказчик пишет:

Я бы предположил, что тела методов и/или ключи декриптовки могут находится как раз на этом USB-девайсе. Что-то вроде долгла... А как на самом деле - хз, мне вникать не охота.
Так что если хочешь разобраться что к чему, вспоминай native, ИДУ в зубы и вперед.
ЗЫ
Если прога реально завязана на донгл, то без самой USB-железки получить требуемый результат вряд ли получится...

| Сообщение посчитали полезным:

HaRpY
Не что-то, а скорей всего так и есть - можно погуглить ту компанию что я дал. И если грамотно подошли к защите, то код генерации внутри донгла и достать его будет весьма проблематично.

-----
старый пень

| Сообщение посчитали полезным: HaRpY