 |
eXeL@B —› Протекторы —› Loader for Armadillo Hardware ID Protection |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 29 сентября 2005 14:46 · Личное сообщение · #1 Друг откуда-то достал одну известную программу и рег. инфо к нему (имя,код,ID харда) и попросил что-то сделать. Она была защищена Armadillo 4.??. Я вот написал лоадер который заставляет армадилло думать что его запускают на "правильном" компьютере... Может кому-нибудь еще пригодится, так что публикую сорцы, рег. информацию в сорцах я изменил, так что это не варез...  c28e_loader.c
 |
|
|
Создано: 29 сентября 2005 15:03 · Личное сообщение · #2 arnix Я язык СИ не очень то уважаю да и толком незнаю может как нить на MASM переписать можно ? 
|
|
|
Создано: 29 сентября 2005 15:08 · Поправил: arnix · Личное сообщение · #3 Z0oMiK Ну если на АСМе и перепишу то только на FASM (давненько с MASM-ом не "общался"), но ты сначала скажи какого толка от этого будет? |
|
|
Создано: 29 сентября 2005 15:10 · Личное сообщение · #4 arnix Молодец!  Решпект тебе
Z0oMiK это ты зря не просто же так си называют высокоуровневым асмом ;) да и особых знаний не надо, чтобы понять такую короткую прожку ;)
|
|
|
Создано: 29 сентября 2005 15:20 · Личное сообщение · #5 arnix Может какой толк и будет . Все ровно спасибо и за СИ 
geRC я как то раз брался за программинг СИ но что то без резултатно... привык к Borland Delphi 5,6,7 + Turbo Pascal и Masm 
|
|
|
Создано: 29 сентября 2005 15:26 · Личное сообщение · #6 Z0oMiK Тебе предупреждение за бестолковый флуд. Если ты не уважаешь С (или еще что-то), то всем об этом знать необязательно. |
|
|
Создано: 29 сентября 2005 16:36 · Личное сообщение · #7 arnix респект! надо обязательно поглядеть прогу. Кстати тем кто ищет кряк на пинч может и пригодится... там арма вроде ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 29 сентября 2005 16:37 · Личное сообщение · #8 гы... поглядел код... так это и делалось для пинча сморю... неужто он всем так нужен? ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 29 сентября 2005 19:20 · Личное сообщение · #9 GPcH пишет: там арма вроде Может немного не в тему, но хоть каким-то боком к арме: На пинче армы нет! ----- TBR |
|
|
Создано: 29 сентября 2005 20:59 · Личное сообщение · #10 арма есть на билдере... и на парсере... блин, пора на ехекриптор переходить или аспр
|
|
|
Создано: 30 сентября 2005 02:21 · Личное сообщение · #11 На билдере нету. 
На парсере (если ты про v1.0) - тоже нет. ----- TBR |
|
|
Создано: 30 сентября 2005 08:13 · Личное сообщение · #12 Grey пишет: На пинче армы нет! PinchBuilder начиная с версии 2.0 запакован армой и ключи генерятся с привязкой к железу. И хорошь разводить на эту тему флуд. ----- Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе! |
|
|
Создано: 30 сентября 2005 09:43 · Личное сообщение · #13 Scratch, execryptor v2.2.6 распаковали |
|
|
Создано: 30 сентября 2005 09:51 · Личное сообщение · #14 Av0id пишет: execryptor v2.2.6 распаковали Его уже кажись доктор голова распаковал. А ты про кого, кто ещё распаковал? Там в принципе нужны только тулзы - ВМ декомпиллер и анморфер. Первое можно написать, а вот второе сложнее, но тоже можно.
|
|
|
Создано: 30 сентября 2005 10:15 · Личное сообщение · #15 бла, чё-то меня всегда на офтопик тянет, простите, я просто хотел сказать, imho, что рано или поздно всё равно сломают или скардят, будь то, арма или криптор или аспр, да что угодно, но это конечно в том случае, если продукт стоящий того ps. Bit-hack, то что написать можно что угодно это любому здесь (на форуме) понятно, другое дело как, про доктора не слышал, а распаковали китайцы (или корейцы, хз), куда ж без них, вот линк: rapidshare.de/files/5709307/EXECryptor226cracked.rar.html |
|
|
Создано: 30 сентября 2005 11:09 · Личное сообщение · #16 Av0id пишет: про доктора не слышал Гы, он иногда заходит на кряклаб И очень и очень грамотно отвечает Это элита русской кряк сцены
|
|
|
Создано: 30 сентября 2005 11:25 · Личное сообщение · #17 я имел в виду, что не слышал, чтобы он распаковывал криптор |
|
|
Создано: 30 сентября 2005 12:37 · Личное сообщение · #18 да, молодцы что поломали именно на такой эффект я рассчитывал, выкладывая бету. по поводу защиты, думаю парсер мой и так трогать особо не будут - не стоит он того, а билдер... может вм протект и аспр сверху хоть немного усложнят жизнь халявщикам я уже настроился даже купить его легально, только незабаннености ключа это вряд ли поможет  ...
|
|
|
Создано: 18 декабря 2007 01:14 · Личное сообщение · #19 Я конечно поздновато проснулся (просто сейчас как раз разбираюсь с армой)-- но в исходнике надо поправить немножко, а именно строка 129 : if (l = origsig) break; нужно заменить на : if (l == origsig) break; Иначе брэйкнется на первом ворде первый байт которого совпадает с первым байтом считанной сигнатуры. А вообще классный простой лоадер ! |
|
|
Создано: 18 декабря 2007 02:35 · Личное сообщение · #20 Pavel_ пишет: Я конечно поздновато проснулся (просто сейчас как раз разбираюсь с армой)-- но в исходнике надо поправить немножко, а именно строка 129 : if (l = origsig) break; нужно заменить на : if (l == origsig) break; Да я это еще давно заметил и где-то должен быть исправлённый вариант Спасибо тем не менее.
|
|
|
Создано: 18 декабря 2007 17:22 · Личное сообщение · #21 Хммм... вот только беда -- почему-то не хочет он читать память этого процесса - если передать последний параметр в ReadProcessMemory : ReadProcessMemory(PI.hProcess, (void*)addr++, &test_byte, 1, &num); то там ноль
И Olly к этому процессу не аттачится
Как быть ? |
|
|
Создано: 18 декабря 2007 19:57 · Поправил: arnix · Личное сообщение · #22 Pavel_ пишет: Как быть ? 2 года назад на этой конкретной программе работало (без copymem), сейчас пока экзешник не дашь сказать не могу Возможно нужно сначала делать VirtualProtectEx на область памяти и дать нам права на чтение.
|
|
|
Создано: 19 декабря 2007 01:19 · Личное сообщение · #23 Ага, попробую %) Я тут кстати посмотрел на тему VirtualProtectEx и нашел некий NativeAPI ZwVirtualProtect в ntdll.dll -- решил попробовать им шарахнуть по этой области памяти (а какая разница между Zw и просто VirutalProtect?). В билдере заглловка к ней нет -- я попробовал ее руками загружать через LoadLibrary и GetProcAddress. А нормально она должна работать в этом случае? (у меня работала не нормально )
|
|
|
Создано: 26 декабря 2007 00:05 · Личное сообщение · #24 Эээ ... Сделал программу которая с помощью FindWindow ищет окошко с заголовком EnterKey (вместо CreateProcess) а потом с помошью VirtualQueryEx проходится по всем страницам (тем у которых права не содержат READ ставил READ вручную c помошью VirtualProtectEx). Кроме того выполнял поиск только на страницах у которых статус COMMIT. Беда в одном -- не находит он footprint
P.S. При этом строка с foot принтом находится на ура! (которая XXXX-YYYY) (могу положить сорцы) Мож он как закодирован как-то? |
|
|
Создано: 26 декабря 2007 06:53 · Личное сообщение · #25 Только в версиях с 4.00 по 4.42 HWID передавался через память. В остальных через регистры. И у этого метода, есть один недостаток. Нет гарантии что последовательность бит XXXX-YYYY, не встретится еще, где то в памяти. |
|
|
Создано: 27 декабря 2007 16:29 · Поправил: Pavel_ · Личное сообщение · #26 Интересно -- запаковал notepad армой 4.40.0250 загрузил в Olly и запустил. После этого (когда вылезло окно введите ключ) нашел в памяти строчку с FingerPrint-ом (в окошке был выведен) ну и дальше раскрутил -- нашел где он туды вписывается и т.д. и в конце нашел функцию которая HWID как раз и возвращала в EAX (в конце нее был XOR, который был успешно замен на MOV для наших цлей). А ват другая программа очень интересно себя ведет -- она после запуска создает какой-то Thread который занимается DispatchMessage-ом, при этом если после появления окна EnterKey пытаться найти в памяти строчку "XXXX-YYYY" то нифига не выходит ... кто знает -- как в этом случае боротьбся ? |
|
|
Создано: 28 декабря 2007 06:43 · Личное сообщение · #27 @Pavel_ И чем тебя WinHex не устраивает, всегда безотказно патчит. Или решил написать очередную патчилку фингерпринта. Так их уже написано больше, чем существует прог с ключами, которые можно пропатчить. |
|
|
Создано: 28 декабря 2007 13:32 · Личное сообщение · #28 arnix, респект! Проверил на Айкидо3д - завелось с полоборота. Практически даже не лоадер получился, а патч - проверка footprintа только при первом запуске...
|
|
|
Создано: 28 декабря 2007 16:27 · Личное сообщение · #29 Krek пишет: Или решил написать очередную патчилку фингерпринта Да хочется разобраться с тем как это всё работает. Тут получается сам пишешь небольшой отладчик, который обманывает чужую программу -- это очень интересно ! Так по теме подсказать можете ? (ну или ссылку на тутор ?) |
|
|
Создано: 14 января 2008 20:13 · Поправил: Модератор · Личное сообщение · #30 По теме была статья от newbie_cracker с названием Fixing Armadillo 3.xx-4.xx Hardware FingerPrint и живет она на exe_tools.com. Сейчас там регистрация закрыта -- можете поделиться у кого есть ? (на других ресурсах недоступно )
Archer: Для запросов на ыкзетлз есть отдельный топик: http://exelab.ru/f/action=vthread&forum=2&topic=2007&page= 32 Если что-то оттуда надо забрать-пости туда. |
| . 1 . 2 . >> |
|
eXeL@B —› Протекторы —› Loader for Armadillo Hardware ID Protection |
Для печати