Цитата с сайта разработчика: "Протектор исполняемых файлов, самый долгожданный релиз года! Идеальная защита для программ написанных на Borland Delphi 3-7.
Невозможно дампировать, нет точки входа, любой отладчик который попытается присоединится к процессу зависнет, невозможно декомпилировать например DeDe и т.д. всего не перечислить. Аналогов такой защиты не существует!".

Как то слишком громко заявлено. Давайте ломать!

Сайт программы www.setisoft.com/

| Сообщение посчитали полезным:

10 баксов стоит =)
А 10 баксов-то не лишние =)))

| Сообщение посчитали полезным:

Интересная программа у них в даунлоад Quik Unpack v0.7

| Сообщение посчитали полезным:

скачал я ее ну и хелп решил посмотреть:

P.S. Ставьте, пожалуйста, тему "@DeXP", чтобы письмо попадало в нужную папку и пишите попадробнее, а
^^^^^^^^^
не обрывки фраз.

Блин грамотеи

Странно, а почему можно накладывать другие защиты кроме ASProtecta?

| Сообщение посчитали полезным:

Предложение, создать на дельфи программку простую, запротектить и взломать . Чтоб не повадно было так писать. У кого есть с собой Делбфи вышлите мне на почту я запакую или сами сделайте.

| Сообщение посчитали полезным:

scanner
Протектор работает очень плохо, из 5 программа запаковал только 1!!!
Антиотладки как таковой не нашел, ОЕР лежит в открытом виде
Сам протектор сваливает всё в одну секцию и импорт и код, у меня программа загрузилась по адресу: 009EE404 55 PUSH EBP
а должна была: 44E404
Импотр тоже целёхонький, осталось сдампить всё это по частям и пересобрать сам ЕХЕ файл

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Ну что ж берем качаем и ломаем.

scanner.narod.ru/Project1_ade.exe

На всякий случай привожу отчет протектора:
--------------------------------------------------------------
Установка защиты:

Оптимизация файла
Удаление из файла не нужных ресурсов
Удаление RTTI Delphi
Удаление имен секций
--Имя [CODE] секции удалено
--Имя [DATA] секции удалено
--Имя [BSS] секции удалено
--Имя [.idata] секции удалено
--Имя [.tls] секции удалено
--Имя [.rdata] секции удалено
--Имя [.reloc] секции удалено
--Имя [.rsrc] секции удалено
Сжатие файла
Шифрование файла
Наследование значка

Оригинальный размер [364 Кб], Новый размер [348 Кб], Сжатие [5 %]
Файл успешно защищен !
---------------------------------------------------------------------- ----------------------

| Сообщение посчитали полезным:

scanner
Да нет таам никакой защиты, а вот сам протектор защищен куда интереснее

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice
Интересненько, получается, реклама только
Эт как яблочный сок можно заменить в рекламе маслом

| Сообщение посчитали полезным:

Ну давайте тогда ломать протектор! Все сломаем, ничего не жалко.

| Сообщение посчитали полезным:

Не могу понять, как он Ольку определяет второй раз...

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

запакованная прога всётки завершается с ошибкой а ты говариш антиотладки нет)

| Сообщение посчитали полезным:

read_me
Запакованная прога при патче 1го байта отлично работает дальше

А вот как сам протектор детектит Ольку я пока не знаю...

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Первый этап определения отладчиков (признаки):
01123E38 CALL 00FE7670 ; JMP to user32.FindWindowA

1. Title = "Select process to attach"
2. Title = "Attach to"
3. Title = "Attach to Process"
4. Title = "[ DumpFX 1.1 ] by yoda"
5. Title = "Unpacker for FSG v2.0"
6. Title = "Revirgin by +Tsehp 1.5 private version"
7. Title = "Quick Unpack v0.7"
8. Title = "[ apatchUI ] ... bless you "
9. Title = "pe-scan 3.31"
10. Class = "PROCEXPL"
11. Title = "UnStealthPe by GPcH"
12. Title = "Rock Debugger"
13. Class = "TDeDeMainForm"
14. Class = "OWL_Window"
15. Class = "FileMonClass"
16. Class = "TWindowScannerForm"
17. Class = "OLLYDBG"
18. Title = "[ LordPE Deluxe ] by yoda"
19. Title = "ProcDump32 (C) 1998, 1999, 2000 G-RoM, Lorian & Stone"
20. Title = "PE Tools v1.5 Xmas Edition - by NEOx/[uinC], www.uinc.ru/"
21. Title = "GUW32 v1.0"
22. Title = "Ultimate Delphi Decompiler"
23. Title = "Import REConstructor v1.6 FINAL (C) 2001-2003 MackT/uCF"
24. Title = "PEiD v0.9"
25. Title = "PiD v5.0 Final b - the ultimate Protection Scanner by CDKiLLER"

убивается заменой по адресу 01123E3F:
JE SHORT 01123E83 на JMP SHORT 01123E83
Со вторым этапом пока проблема.

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Здесь ещё "26. Title = "Windows Task Manager" нехватает .

| Сообщение посчитали полезным:

Barakuda
Странно, такого я не видел. После PiD ничего больше не проверяется. Вылетает со второго этапа. И при включеном Таск Менеджере нормально работает.
Тьфу блин, че-т не сразу дошло что шутка. Сорри, увлекся

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Barakuda пишет:
Здесь ещё "26. Title = "Windows Task Manager" нехватает .
;)

| Сообщение посчитали полезным:

Getorix пишет:
17. Class = "OLLYDBG"

Это нужно ручками пропатчить в OllyDbg.exe,
вот если бы Olly грузил плагины до создания окон, можно
было бы и в плагин прикрутить..

| Сообщение посчитали полезным:

Getorix пишет:
1. Title = "Select process to attach"

А при попытке приатачится Олей появляется окошко именно с таким заголовком.
Поэтому врятли Olly можно поправить "бит хаком". Впрочем "Никогда не говори никогда".

| Сообщение посчитали полезным:

Хе, кажись это от автора проги LikeRus. Сама прога была довольно геморной во взломе.

| Сообщение посчитали полезным:

> самый долгожданный релиз года
Бу-га-га!
Третий VirtualAlloc от старта выделяет память под имадж, копирует туда оригинальный заголовок, потом поодной штуке кладет секции. Как положит, дампим весь регион, делаем DumpFix (чтобы у секций RawOffset == VirtualAddress), сбрасываем IMAGE_FILE_DLL флажок в заголовке. И это собсно все - получили оригинальный ехе, надо только иконку приклеить.
Я действительно давно ждал такую лоховскую идеальную защиту %)
Сделать чтоль распаковщик. Щас только проверю не будет ли какой засады если Delphi программу зажать.

| Сообщение посчитали полезным:

Archer пишет:
Хе, кажись это от автора проги LikeRus

Так и есть. Мне почемута кажется, что из нас хотят зделать бета тестерами.

| Сообщение посчитали полезным:

Точно, сдампил как было сказано уважаемым Dr.Golova, после VirtualAlloc, в регистрах следующее:
ecx,offset "PE"
edx,offset "PE"
ebp,offset "MZ"

Файл абсолютно целый, размер можно сразу посмотреть в заголовке и соответственно взять регион от ebp длиной Size Of Image =) Ребилдить не пришлось, только в File Header снять признак DLL.

| Сообщение посчитали полезным:

DrGolova пишет:
надо только иконку приклеить

А у меня вместе с иконкой.
Кстати, на ней ещё VMProtect навешан. Вот так вот.
Так просто ломануть не удастся.

| Сообщение посчитали полезным:

Парни, ну что вы привязались к проге - пускай у неё будет лоховая защита, нам же потом проще ломать проги будет, защищенные ей. К чему нам лишние аспры и армы ?

-----
Всем не угодишь

| Сообщение посчитали полезным:

Bad_guy
Дык в том то и дело, что протектор протектит хуже чем сам запротекчен Вот саму прогу протектор мы и распаковываем. Уже второй день над ней с nice кумекаем...

-----
Get busy living or get busy dying ©

| Сообщение посчитали полезным:

Getorix пишет:
Уже второй день над ней с nice кумекаем

В смысле регистрации или распаковки.

| Сообщение посчитали полезным:

NIKOLA
Распаковки, сам протектор прибивает Ольку, вот пытаемся найти как он её детектит

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

Мне тоже интересно, как он её детектит... определяет только если запущен из-под Olly

| Сообщение посчитали полезным:

nice

Дык уже написано где:

DrGolova пишет:
Третий VirtualAlloc от старта выделяет память под имадж, копирует туда оригинальный заголовок, потом поодной штуке кладет секции

Второй файло из памяти херачит.

Крипто анализатором ни кто не пробовал открыть дамп.
Столько сиг., я охренел.
И ещё заметил, этот херувим (протектор), патчит в памяти кернел.

| Сообщение посчитали полезным: