Сегодня на на ARTeam Forums качнул кракми прот ACPROTECT двушка, редкость в общем может кому и интересно будет потренироваться! Достаточно простенький для начинающих самое то!



a8a9_07.08.2006_CRACKLAB.rU.tgz - crack_me__4.RAR

| Сообщение посчитали полезным:

pavka Ну я так поглядел сообственно почти ничего сложного написан на VB OEP 004011AA
дальше ковырять не стал

| Сообщение посчитали полезным:

Z0oMiK
Ты прав ни чего сложного! OEP не то

| Сообщение посчитали полезным:

OEP 00425A18

| Сообщение посчитали полезным:

Ничего интересного там нет

| Сообщение посчитали полезным:

pavka пишет:
OEP не то
зумег просто OEP Quick Unpack'ом смотрит...

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

BoOMBoX/TSRh пишет:
Ничего интересного там нет
Я же сказал интересно для начинающих, часто возникают вопросы по Acprotect. Не сложный анпакми, почему бы не потренироватся blacksea пишет:
OEP 00425A18
Еще более интересный вариант чем у Z0oMiKа ;) В принципе Z0oMiK не так уж не прав! Просто там не получится как в статье , которая так рассмешила некотрых участников форума, сделать:
push VB5
Call ThunRTMain

| Сообщение посчитали полезным:

pavka пишет:
Я же сказал интересно для начинающих
Вот туда и отправляй сразу топик!
pavka, больше не заводи в основном разделе подобных тем!

-----
Всем привет, я вернулся

| Сообщение посчитали полезным:

О.К Не буду!

| Сообщение посчитали полезным:

Классно! Хватанул адреналинчика. Правда наверное немного шельманул, пришлось добавить три строчки кода. Pavka, а без добавки кода можно распаковать?

| Сообщение посчитали полезным:

Tim Лол ... это ты только так можешь ...

| Сообщение посчитали полезным:

cadet пишет:
без добавки кода можно распаковать?
Без добавки нет! без push VB5 ни как
К слову про Quick Unpack Скачал тут анализатор ExeInfo PE ver. 0.0.1.2 G by A.S.L
так он дает совет: try generic method - Quick unpack 1.0 - www.AHTeam.org
Единственый определил AC protect 2.0 by RIScO Software Inc. ( www.ultraprotect.com )

| Сообщение посчитали полезным:

Не только, но и, например, RDG Packer Detector v0.6.4 Beta R-1,
правда просто: ACProtect v2.0

| Сообщение посчитали полезным:

Что за отстой? ACProtect неплохо ворует ОЕП, разделяет его на блоки и при вызове первого расшифровывает второй и т.д. Причем прыжки между блоками осуществляются через DRx регистры. Жопа полная. А это вообще не понятно с какими опциями упаковано, так что это тоже самое что упаковать анпакми ExeCryptor'ом с выключеными опциями и сказать что это для начинающих ИМХО.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill пишет:
Что за отстой? ACProtect неплохо ворует ОЕП, разделяет его на блоки и при вызове первого расшифровывает второй и т.д. Причем прыжки между блоками осуществляются через DRx регистры.

Барышня делала! Сделай скидку! Ну и не забывая что VB что там красть?
Скачай сам ACProtect2 да посмотри, там восстановить начало раз плюнуть

| Сообщение посчитали полезным:

У меня есть ACProtect2. Там не используется кража ОЕП+использование DRx регистров т.к. там много кодесплайсинга, который выполняется путем расшифровки и копирования в буфер т.е. и без кражи тормозит. Я упаковывал анпакми со всеми опциями, поверь ОЕП не так просто восстановить а тем более очистить от мусора и убрать полиморф.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

PE_Kill
Мне не удалось запротектить со всеми опциями все проги падали! Может это только на дельфи прогах работает?

| Сообщение посчитали полезным:

PE_Kill пишет:
ОЕП не так просто восстановить а тем более очистить от мусора и убрать полиморф
Кража ОЕП+использование Use Debug Register as Decode Register рально затрудняет востановление ОЕП только на сишных прогах! Дельфи нет особых проблем! С асмовыми прогами там вообще не о чем говорить!
Codes Replase так и не смог запустить ни одной проги!

| Сообщение посчитали полезным:

Вот к примеру запротектил eXeScope
1 Кража ОЕП без Use Debug Register as Decode Register
005168E6 61 popad------------------------------>eax= magic delfi
005168E7 FF35 ED095000 push dword ptr ds:[5009ED]
005168ED C70424 7C6C4000 mov dword ptr ss:[esp],eXeScope.00406C7C
005168F4 8B0C24 mov ecx,dword ptr ss:[esp] ; eXeScope.00406C7C
005168F7 8F05 91085000 pop dword ptr ds:[500891]
005168FD 56 push esi
005168FE BE 21095000 mov esi,eXeScope.00500921
00516903 890E mov dword ptr ds:[esi],ecx
00516905 5E pop esi
00516906 FF35 21095000 push dword ptr ds:[500921]<--------------1 call
0051690C 8F05 51085000 pop dword ptr ds:[500851]
00516912 8F05 C50A5000 pop dword ptr ds:[500AC5]
00516918 FF35 C50A5000 push dword ptr ds:[500AC5]
0051691E 8B0C24 mov ecx,dword ptr ss:[esp]
00516921 8F05 C10A5000 pop dword ptr ds:[500AC1]
00516927 FF15 51085000 call dword ptr ds:[500851]
0051692D FF35 54FC4C00 push dword ptr ds:[4CFC54] ; eXeScope.004D1D84
00516933 8B3424 mov esi,dword ptr ss:[esp]
00516936 90 nop
00516937 60 pushad
00516938 E8 0A000000 call eXeScope.00516947
0051693D E8 EB1973E8 call E8C4832D
С оеп все понятно
2 Кража ОЕП+использование Use Debug Register as Decode Register
005168F9 61 popad
005168FA 8F05 3D095000 pop dword ptr ds:[50093D]
00516900 FF15 55085000 call dword ptr ds:[500855]<------1 call ; eXeScope.00406C7C
00516906 FF35 54FC4C00 push dword ptr ds:[4CFC54] ; eXeScope.004D1D84
0051690C 8B3424 mov esi,dword ptr ss:[esp]
0051690F 8F05 A9085000 pop dword ptr ds:[5008A9]
00516915 33C0 xor eax,eax
00516917 56 push esi
-------------------------------------------
00516C31 64:FF30 push dword ptr fs:[eax]
00516C34 64:8920 mov dword ptr fs:[eax],esp
00516C37 A1 FCFE4C00 mov eax,dword ptr ds:[4CFEFC]
00516C3C 8B00 mov eax,dword ptr ds:[eax]
00516C3E 57 push edi
00516C3F 893424 mov dword ptr ss:[esp],esi
00516C42 C70424 54204900 mov dword ptr ss:[esp],eXeScope.00492054
00516C49 8F05 39095000 pop dword ptr ds:[500939] ; eXeScope.00492054
00516C4F FF15 39095000 call dword ptr ds:[500939] ; eXeScope.00492054

-------------------------------------------------------------
00516F0F 893D F1095000 mov dword ptr ds:[5009F1],edi
00516F15 FF35 F1095000 push dword ptr ds:[5009F1]
00516F1B C70424 6C704000 mov dword ptr ss:[esp],eXeScope.0040706C ; jmp to kernel32.GetUserDefaultLangID
00516F22 8F05 410A5000 pop dword ptr ds:[500A41]
00516F28 FF15 410A5000 call dword ptr ds:[500A41]
00516F2E 66:25 FF03 and ax,3FF
00516F32 66:83F8 11 cmp ax,11
00516F36 A1 94FE4C00 mov eax,dword ptr ds:[4CFE94]
00516F3B 0F9400 sete byte ptr ds:[eax]
00516F3E A1 FCFE4C00 mov eax,dword ptr ds:[4CFEFC]
00516F43 8B00 mov eax,dword ptr ds:[eax]
00516F45 53 push ebx
00516F46 893C24 mov dword ptr ss:[esp],edi
00516F49 C70424 DCC94C00 mov dword ptr ss:[esp],eXeScope.004CC9DC ; ASCII "eXeScope"
00516F50 8F05 89085000 pop dword ptr ds:[500889]
00516F56 FF35 89085000 push dword ptr ds:[500889]
00516F5C 5A pop edx
---------------------------------------------------------
004CC846 E8 0154FCFF call eXeScope.00491C4C ; Finish
004CC84B 8BCE mov ecx,esi
004CC84D A1 FCFE4C00 mov eax,dword ptr ds:[4CFEFC]
004CC852 8B00 mov eax,dword ptr ds:[eax]
004CC854 8B15 103B4C00 mov edx,dword ptr ds:[4C3B10] ; eXeScope.004C3B5C
004CC85A E8 0D58FCFF call eXeScope.0049206C
004CC85F 8B0D 1CFE4C00 mov ecx,dword ptr ds:[4CFE1C] ; eXeScope.004D1C64
004CC865 A1 FCFE4C00 mov eax,dword ptr ds:[4CFEFC]
004CC86A 8B00 mov eax,dword ptr ds:[eax]
004CC86C 8B15 98604900 mov edx,dword ptr ds:[496098] ; eXeScope.004960E4
004CC872 E8 F557FCFF call eXeScope.0049206C
004CC877 8B0D 20FB4C00 mov ecx,dword ptr ds:[4CFB20] ; eXeScope.004D1D78
004CC87D A1 FCFE4C00 mov eax,dword ptr ds:[4CFEFC]
004CC882 8B00 mov eax,dword ptr ds:[eax]
004CC884 8B15 68274C00 mov edx,dword ptr ds:[4C2768] ; eXeScope.004C27B4
004CC88A E8 DD57FCFF call eXeScope.0049206C
004CC88F 8B06 mov eax,dword ptr ds:[esi]
004CC891 8B80 E4030000 mov eax,dword ptr ds:[eax+3E4]
004CC897 E8 F0C3FAFF call eXeScope.00478C8C
004CC89C A1 94FE4C00 mov eax,dword ptr ds:[4CFE94]
004CC8A1 8038 00 cmp byte ptr ds:[eax],0
004CC8A4 75 6F jnz short eXeScope.004CC915
004CC8A6 8B06 mov eax,dword ptr ds:[esi]
Глубина кражи конечно возросла, но если пропускать процедуры расшифровки то ни чего особнного мы не увидим , то же самое что и в первом случае только чуть дальше и чистить то особенно нечего!

| Сообщение посчитали полезным:

Странно почему у тебя так мало кусков. У меня было гораздо больше. А Codes Replase тоже интересная штука. Но там без деобфускатора не обойтись, хотя он и простой до безобразия.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Я так и не смог все проги после включения падают! Не знаю почему!

| Сообщение посчитали полезным:

PE_Kill пишет:
Codes Replase тоже интересная штука. Но там без деобфускатора не обойтись
Можно и обойтись !
Смотрел прогу 1ClickDvdCopy v5.0.1.0 LG Software Innovation Acprotect2 c Codes Replase , убирается
банальным копипастом

| Сообщение посчитали полезным:

pavka не может быть. Только если старая версия. В новой кода нет он только перед вызовом декриптуется и в нем есть трэш. Только если ты трэш руками убирал, тогда опять же у меня в кракми было 1500 с копейками вызовов CodeReplace думаю что копи пастом ты будешь не меньше года это восстанавливать.

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

Анализаторы определяют плохо версии. на глаз и их так же трудно различить! код н перед вызовом декриптуется мусор есть.
Посмотри сабж если есть желание весит не много !

| Сообщение посчитали полезным:

Неа, мну ACProtect не вставляет, у мну другие дела есть...

-----
Yann Tiersen best and do not fuck

| Сообщение посчитали полезным:

;) Да мне то это совершенно не обязательно знать !

| Сообщение посчитали полезным:

Вот пришлось поднять старый топ, чтобы не создавать новый. Посоветуйте не большую прогу запакованную ACProtect.Версия без разницы. Крэкми не интересует!!! Желательно хотелось бы глянуть на Code Replace в двушке

| Сообщение посчитали полезным:

Djeck
А скачать асипр и самому запротектить файл религия не позволяет?
rapidshare.com/files/122729621/ACProtect_2.0_Pro_Standard.rar.html

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Spirit,
Djeck пишет:
Крэкми не интересует!!!
В моём понимание самовольная паковка программы не отличается от крекми. Просто интересно именно живые программы, в которых можно посмотреть сабж. Тем более Вы меня хоть убейте, но не получается у меня запротектить с опциями OEP Obfuscation и Code Replace. Чтобы не советовали, говорю сразу сам протектор второй версии уже посмотрел.

| Сообщение посчитали полезным:

Djeck
1CLICK DVD COPY от LG Software Innovation на память самая известная прога пакованая сабжем и
Video-Fixer
www.video-fixer.com

| Сообщение посчитали полезным: