снятие hasp srm 3.25 envelope

Сейчас на форуме: (+9 невидимых)

Посл.ответ	Сообщение
saffers Ранг: 5.7 (гость), 1thx Активность: 0=0 Статус: Участник	Создано: 12 мая 2014 09:24 · Поправил: saffers · Личное сообщение · #1 прошу помочь в распаковке - снятие конверта предположительно hasp srm 3.25 использую модифицированную olly - DeFixed c плагинами. Конверт под DeFixed запускается и вроде бы нормально работается в большинстве случаев, хотя дебаггер вроде временами хасп все же детектит (при использовании пошаговой трассировки), т.к. замечал интересные эффекты oep довольно легко нашел методом бряка HR ESP-6 конверт не восстанавливает iat полностью, вместо некоторый функций kernel32.dll, user32.dll, advapi32.dll хасп делает переходники код конверта в самых ответственных местах изобилует мусорным кодом - ничего не делающими инструкциями, искусственным вызовом процедур, комбинациями переходов jns/js, jbe/ja нашел отдельное место, где в iat прописывается имя отресолвленной функции, а также нашел место, где прописывается переходник. От чего это зависит я не смог найти. соответственно, каким образом можно заставить конверт восстановить iat? в чем прикол? каким образом конверт решает, когда восстанавливать импорт, а когда нет? поделитесь информацией, кто щупал хасп Добавлено спустя 17 часов 3 минуты решил пойти другим путем. поизучать скрипты HASP Envelope IAT Fixer примерно понял, на чем основана работа скрипта. комрады, подскажите, сигнатуры в скриптах за что отвечают и для чего используют адрес GetTickCount , может кто-то знает... вот, например Code: gpa "GetTickCount", "kernel32.dll" mov addrGetTickCount, $RESULT find protectSectionBase, #668BC087D387DA558BEC# find prtc_sec, #66C1E7??5E5B8BE566C1E6??5DC3# п.с. догла временно нет, скрипты опробовать пока не могу. 642d_13.05.2014_EXELAB.rU.tgz - Hasp IAT fixer.rar

saffers Ранг: 5.7 (гость), 1thx Активность: 0=0 Статус: Участник	Создано: 19 мая 2014 20:05 · Личное сообщение · #2 Снял я таки этот конверт. Нашел место в переходниках, где конверт восстанавливает и вызывает api. Написал свой скрипт для восстановления IAT. Как снова получу ключ, то напишу статейку и выложу скрипт. Теперь можно бороться с api хаспа, которые вызываются изнутри прог.
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 19 мая 2014 20:55 · Личное сообщение · #3 saffers пишет: Снял я таки этот конверт. Нашел место в переходниках, где конверт восстанавливает и вызывает api. Написал свой скрипт для восстановления IAT. Да там 1 переход поправить... Скрипты еще писать
saffers Ранг: 5.7 (гость), 1thx Активность: 0=0 Статус: Участник	Создано: 19 мая 2014 21:48 · Личное сообщение · #4 SReg Я видел этот трюк в видеотуториале от блэкшторма, но мне не удалось найти этот переход. наверно, еще раз стоит внимательней пересмотреть видео...
SReg Ранг: 315.1 (мудрец), 631thx Активность: 0.3↗0.33 Статус: Модератор CrackLab	Создано: 19 мая 2014 22:11 · Личное сообщение · #5 saffers какие есче видео.. бряк на запись поставил и ты в нужном месте или рядом \| Сообщение посчитали полезным: Vnv
daFix Ранг: 529.0 (!), 110thx Активность: 0.29↘0.04 Статус: Участник 5KRT	Создано: 19 мая 2014 22:44 · Личное сообщение · #6 SReg В последних версиях конверта иногда бывает ваще жесть ----- Research For Food
Vnv Ранг: 88.6 (постоянный), 50thx Активность: 0.04↘0.02 Статус: Участник	Создано: 20 мая 2014 00:30 · Поправил: Vnv · Личное сообщение · #7 daFix Сколько конвертов не открывал (при наличии ключа), ни разу не видел "жесть".
saffers Ранг: 5.7 (гость), 1thx Активность: 0=0 Статус: Участник	Создано: 21 мая 2014 11:26 · Личное сообщение · #8 daFix Каким то образом можно точно идентифицировать версию конверта? разные PE идентификаторы показывают в общем, без деталей SReg видеотутор --> Link <--
ajax Ранг: 337.6 (мудрец), 224thx Активность: 0.21↘0.1 Статус: Участник born to be evil	Создано: 21 мая 2014 11:57 · Личное сообщение · #9 saffers по версии hasp api, как правило ----- От многой мудрости много скорби, и умножающий знание умножает печаль

Для печати