PELock 2.xx - eXeL@B

Сейчас на форуме: (+5 невидимых)

Посл.ответ	Сообщение
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 29 июля 2019 16:03 · Личное сообщение · #1 Хотелось бы поинтересоваться, имел ли кто-нибудь дело с этой версией прота ? Что можете сказать ? Есть ли на текущий момент под него скрипты/тулзы/туторы ? P.S. Интересует любая инфа по теме

SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 29 июля 2019 17:56 · Личное сообщение · #2 ну скачиваем с сайта https://www.pelock.com/products/pelock/download упаковываем что нибудь calc.exe тестируем как обычно,что меняет как устроен. а информацию по распаковке, смотрим поисковики китайцев и сайты арабов они всегда впереди нас.
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 29 июля 2019 18:32 · Личное сообщение · #3 SDK пишет: ну скачиваем с сайта https://www.pelock.com/products/pelock/download упаковываем что нибудь calc.exe тестируем как обычно,что меняет как устроен. Ну вот скачать и упаковать calc.exe точно бы ни за что не догадался. SDK пишет: а информацию по распаковке, смотрим поисковики китайцев и сайты арабов они всегда впереди нас. А поточнее что-нибудь ?
SDK Ранг: 54.0 (постоянный), 49thx Активность: 0.72↗1.1 Статус: Участник	Создано: 29 июля 2019 20:32 · Личное сообщение · #4 Rainbow пишет: А поточнее что-нибудь ? www.52pojie.cn unpack.cn поисковик их https://www.baidu.com у арабов не помню сайты
AKAB Ранг: 79.4 (постоянный), 183thx Активность: 0.11↘0 Статус: Участник	Создано: 02 августа 2019 05:59 · Личное сообщение · #5 SDK пишет: www.52pojie.cn unpack.cn поисковик их https://www.baidu.com у арабов не помню сайты было AoReTeam/com/vb ? в основном на этом сайте было все, но в данном моменте закрыт и ещё есть другой сайт https://www.at4re.net/f/
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 05 августа 2019 15:18 · Личное сообщение · #6 Там демо версия. Простой прот, после запуска образ полностью распаковывается. Импорт частично отморфлен. Морф самый примитивный - начало апи до условного ветвления переносится в буфер и разбавляется серией jmp/push/ret, при этом инструкции не морфятся(оригинальные). Тоесть начало апи скипается в буфер, поэтому точки останова не сработают. Из этих стабов возврат в тело апи по прямому адресу, те он не шифрован, а жёстко зашит в сами стабы. Поэтому восстановить импорт не проблема, каждую апи можно восстановить по указателю из стаба в её тело, причём так как блок до ветвления, то можно просто вниз адреса листать до совпадения адреса с экспортом. Может в полной версии как то иначе хз. Варю детектит, можно посмотреть как именно. ----- vx \| Сообщение посчитали полезным: SDK, Rainbow
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 05 августа 2019 16:10 · Личное сообщение · #7 Это разрез пакованного демо-версией калькулятора/блокнота ? Или это сам прот, накрытый собой же но функциональным ? Какая версия ?
difexacaw Ранг: 337.5 (мудрец), 348thx Активность: 2.11↗2.42 Статус: Участник	Создано: 05 августа 2019 17:23 · Личное сообщение · #8 Rainbow Тестовый бинарь, 2.1 Интересно как варю палит, я пока не понял. Три раза вызывается cpuid: f(0), 2xf(1). Если подменить результат для второй функции, то всё равно палит. rdtsc не использует. Из системных инструкций sldt, но она под варей корректно работает. Добавлено спустя 1 час 25 минут Всё проще оказалось, никаких там интересных техник нет, тупо обьекты открывает: Code: SLDT NtOpenEvent("VMwareDnDManagerEvent") NtCreateMutant("VMwareGuestDnDDataMutex") NtCreateMutant("Local\VMToolsHookQueueLock") Если их пройти, то варю не палит. ----- vx

Для печати