| Сейчас на форуме: (+8 невидимых) |
 |
eXeL@B —› Протекторы —› Распаковка Dyamar Protector |
| Посл.ответ | Сообщение |
|
|
Создано: 11 сентября 2015 18:27 · Личное сообщение · #1 Извиняюсь, если создал тему не в том разделе. Возможно кто-то сталкивался с распаковкой Dyamar. Существуют скрипты для распаковки или возможно есть хороший мануал ? Файл - http://rghost.ru/8JYWFp5mk Заранее благодарен за помощь.  |
|
|
Создано: 11 сентября 2015 18:33 · Личное сообщение · #2 Забавно то, что FF автоматически локает этот файл при скачивании.Не судьба понять алгоритм ? Посмотреть, какие функции вызываются в теле секции распаковщика перед запуском программы ? Очередная тема "сделайте за меня". ----- TEST YOUR MIGHT |
|
|
Создано: 11 сентября 2015 18:41 · Личное сообщение · #3 unknownproject пишет: "сделайте за меня". "Существуют скрипты для распаковки или возможно есть хороший мануал ?" читать умеете ? |
|
|
Создано: 11 сентября 2015 19:10 · Личное сообщение · #4 попробуй этот скрипт https://forum.tuts4you.com/topic/36868-dyamar-protector-13x-unpacker/ |
|
|
Создано: 11 сентября 2015 19:27 · Личное сообщение · #5 есть видео. |
|
|
Создано: 11 сентября 2015 19:33 · Личное сообщение · #6 да гугл набит ответами, для этого не нужно было создавать тему |
|
|
Создано: 11 сентября 2015 19:51 · Поправил: unknownproject · Личное сообщение · #7 KingMaster пишет: "Существуют скрипты для распаковки или возможно есть хороший мануал ?" читать умеете ? То, что вы них..ничего не сделали сами говорит о том, что Вы и не пытались.Это делфи.OEP всегда в конце секции кода.Она одна, значит это версия до 7.Хер с ним. OEP: 001B96FC IATRVA: 002041B4 IATSize: 000008E8 Мучайтесь дальше сами.Скрипт там никакой не нужен, все распаковывается руками и ненужные секции вырезаются. ----- TEST YOUR MIGHT |
|
|
Создано: 12 сентября 2015 15:21 · Поправил: KingMaster · Личное сообщение · #8 unknownproject пишет: OEP: 001B96FC Разрешите узнать, тогда сколько равен ImageBase ? Т.к. с данной точкой выполнить распаковку не удается. OEP: 001B96FC + 400000 OEP: 005B96FC это если с ImageBase... |
|
|
Создано: 12 сентября 2015 16:13 · Поправил: unknownproject · Личное сообщение · #9 KingMaster пишет: Разрешите узнать, тогда сколько равен ImageBase ? Т.к. с данной точкой выполнить распаковку не удается. OEP: 001B96FC + 400000 OEP: 005B96FC это если с ImageBase...  Неужели не видно было, что это RVA.VA - виртуальный адрес, т.е. адрес в памяти с учетом базового, а RVA - без учета базового, т.е. он вычитается.Надобно бы сначала посмотреть, как в PE хидере хранятся данные в соответствующих полях прежде, чем задавать такие вопросы.ImageBase нужен только для помещения образа программы в память, а для правки физического файла его не учитывают.Некоторые компиляторы относительный виртуальный адрес делают равным смещению(позиции) в самом файле.В этом протекторе нужно править только несколько полей, но это тривиальный случай.Тлс целая, релоки целые, ресурсы целые.Сжат только код.Основная защита там в самом коде, а не в протекторе.После N-ного кол-ва попыток запуска эта прога больше не стартанет и не важно снят ли с нее протектор или нет.
----- TEST YOUR MIGHT |
|
|
Создано: 12 сентября 2015 16:33 · Личное сообщение · #10 unknownproject пишет: .После N-ного кол-ва попыток запуска эта прога больше не стартанет и не важно снят ли с нее протектор или нет. Это я почти сразу понял. Сейчас ещё раз попробую распаковать. |
|
|
Создано: 12 сентября 2015 16:45 · Поправил: unknownproject · Личное сообщение · #11 ImageBase можно спокойно менять, как и любое другое поле, так что он не всегда может быть равен 400000.Если что-то после распаковки не запускается, то надо внимательно проверять все поля согласно спецификации PE формата.Проще всего использовать CFF Explorer, PE Tools, Lord PE и подобные им. В delphi, если секция .idata (старая секция импорта) не вырезана, то можно импорт восстанавливать в нее.Естественно она должна быть вычищена (забита нулями). Code:
(Это прологи процедур, если что.Все условные переходы находятся чуть ниже). Бан происходит по айпи адресу.После его смены при запуске снова запрашивается лицензия. ----- TEST YOUR MIGHT | Сообщение посчитали полезным: KingMaster |
|
|
Создано: 12 сентября 2015 18:09 · Поправил: KingMaster · Личное сообщение · #12 unknownproject пишет: ImageBase можно спокойно менять, как и любое другое поле, так что он не всегда может быть равен 400000.Если что-то после распаковки не запускается, то надо внимательно проверять все поля согласно спецификации PE формата.Проще всего использовать CFF Explorer, PE Tools, Lord PE и подобные им. В delphi, если секция .idata (старая секция импорта) не вырезана, то можно импорт восстанавливать в нее.Естественно она должна быть вычищена (забита нулями). Code: 005A11C4 /. 55 PUSH EBP //здесь проверяются гаврики с форума BHF 0059EA5C $ 55 PUSH EBP //а здесь проги с запрещенными именами. (Это прологи процедур, если что.Все условные переходы находятся чуть ниже). Бан происходит по айпи адресу.После его смены при запуске снова запрашивается лицензия. Очень вам благодарен за своевременную помощь, но надеюсь, что с защитой я сам разобраться смогу. Сейчас основную задачу себе поставил одолеть Dyamar. Ещё раз спасибо за помощь. |
|
eXeL@B —› Протекторы —› Распаковка Dyamar Protector |
Для печати