Сабж. Там гдето есть холст в png формате, он полностью декриптуется. На холсте изображён код. Код нужно этот достать.

Код чистый, нет ни обфускации, ни тайминга, ни вирт машин.

Если у вас получится достать код, не выкладывайте его сюда, он вам понадобится ;)

f931_26.08.2013_EXELAB.rU.tgz - Crmy.zip

| Сообщение посчитали полезным: Abraham

Анубис http://anubis.iseclab.org/?action=result&task_id=1f35f4c73aaf55b2409c8fc3cbc35a8d2&format=html

Таймаут, так как нужно время на обработку. Где то секунд 10.

| Сообщение посчитали полезным:

что-то ваш илитный кодес сдох. Небось там VMBE не присутствует?

| Сообщение посчитали полезным:

int_256

У всех робит. Откатали на 5.1/32, 6.1/32, 6.1/64. Вы покиляйте свои отладчики и почистите ось от говна, которое память бьёт.

| Сообщение посчитали полезным:

Dr0p
говнокод детектед
пишите человеческий код, а не который хз что в системных либах копошится

| Сообщение посчитали полезным:

int_256

Я знаю чего он крешится у вас. Потому что у вас секция кода нтдлл битая(вы её патчите в целях отладки или быть может авер какой побил или малварка хз), а это не боевой код(в этом случае обычно RE секции подгружаются с диска, W из памяти) и с диска её подгружать не нужно. Есчо такое может быть если запускается в режиме совместимости(если шим подгружается). Во всех этих случаях в системной кодосекции есть относительное ветвление за пределы проекции. Есно оно криво раскодируется. Но это только плюс.
Кстате не удивительно, у вас ось наверно самопальная пруф :D

| Сообщение посчитали полезным:

Dr0p
насчет того пруфа, так то проблема была не в софте, а в глючном китайском Jmicron'овском ata контроллере. И вообще к вашему сведению я коней не запускаю на рабочей тачке. И кодес, который работает в кастомном случае и живучесть которого зависит от того, как кишки у мс устроены это не код.

| Сообщение посчитали полезным:

int_256

Всё отлично работает. Если вы не можите осилить, то матчасть учите. Что от меня нужно то.

| Сообщение посчитали полезным:

выпилил всё ) ломайте крякми

| Сообщение посчитали полезным: DimitarSerg, kid, Abraham

строки в дампе:
http://webfile.ru/6659834
зачем в крякми строки реестра?

fbe7_31.08.2013_EXELAB.rU.tgz - Crmy.txt

| Сообщение посчитали полезным:

bizdon пишет:
зачем в крякми строки реестра?
--> Чтоб увеличить свои показатели на вирустотал <--

| Сообщение посчитали полезным:

bizdon

Их в нём нет. Это у вас showsnaps ntldr, верифер и прочие отладочные тулзы выводят на скока понял.

| Сообщение посчитали полезным: dosprog

ELF_7719116

Быть может импорта нет ?

| Сообщение посчитали полезным:

bizdon

Полистал подробно ваш текстовик, это не иначе, как список текстовых строк в нтдлл(идой чтоле рипнул ?).



| Сообщение посчитали полезным: Functor

Компьютер не взорвался...
Dr0p, рисунок я подредактировал. Чуток, чтобы лучше смотрелось.)

c9a0_01.09.2013_EXELAB.rU.tgz - HOLST.png

| Сообщение посчитали полезным: Abraham

dosprog

Неужели вы пробили сабж. Не верю своим глазам

Код не палите. Вероятно после вашего сообщения к вам в лк полезут хомяки. Помните что меняется всё.

В таком случае вы можите вступить. Надеюсь вы извлекли чтонить новое для себя, потратив время. Также надеюсь вы не использовали тулзы для arce, типо side(в этом случае анализ делается на коленке и сабж вскрывается за минуты).

| Сообщение посчитали полезным:

Dr0p пишет:
Также надеюсь вы не использовали тулзы для arce, типо side

Не, ну давайте не будем, может, ещё кто начал реверсить и не хочет подсказок.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

одно из решений --> Link <--

| Сообщение посчитали полезным:

Вот ещё: c466_28.12.2016_EXELAB.rU.tgz - get_png!.rar - Archive password is "1".

| Сообщение посчитали полезным:

http://crackmes.de/
погиб смертью храбрых

| Сообщение посчитали полезным:

Не решено, пока не решено автоматикой.

-----
vx

| Сообщение посчитали полезным:

difexacaw
хороший хелоуворлд - давай еще

| Сообщение посчитали полезным:

SDK

Я тоже решил крэкми собрать. Немного неделю продумал механизмы. Что бы в коде не копались, сделаю по хитрому.

Допустим дан линейный блок кода(заканчивается он ветвлением), назовём его фреймом для удобства. Ветвление заменяем на шлюз(а адрес ветвления если задан) шифруем(любая функция для примера, пусть сумма), деля на две части. Одну часть оставляем в самом шлюзе, а вторую часть(ключ) оставляем в предыдущем фрейме(те том, который передаёт управление на текущий). Шлюз выполнит сложение, таким образом вычислив адрес следующего фрейма и сформирует ключ для него.

Получается что во фреймах нет адреса ветвления, он формируется по ключу из предыдущего фрейма и так рекурсивно. Тоесть адрес ветви и адрес ссылки на фрейм узнать нельзя. Получится массив перемешанных фреймов, где ключ передаётся при выполнении фреймов(локально в потоке).

Для возврата из процедур аналогично - часть суммы в стеке, часть в шлюзе и часть в предыдущем до рет фрейме. Тогда стектрейс будет содержать только ключи, по которым адреса не узнать.

Вот показал на диаграмке:


Интересно как такое решать ?

Кстате по трассировке, что получится?:





-----
vx

| Сообщение посчитали полезным: SDK

difexacaw, а чем ваша идея принципиально отличается от виртуалки в VMProt 3.0?

| Сообщение посчитали полезным:

difexacaw пишет:
Интересно как такое решать ?
давайте "семпл" и конечную цель пусть будет
как и раньше зашифрованный файл на выходе
поломаем голову.

| Сообщение посчитали полезным:

user99

Код остаётся нэйтивным, удаляются только связи между блоками(cfg). Виртуализация это совершенно другое. Нет никакого интереса разбирать виртуальные машины, это тривиальная рутина.

-----
vx

| Сообщение посчитали полезным:

difexacaw, я про механизм переходов.
Пример одного из блоков ВМ:

Явного перехода нет, часть ключа для вычисления перехода хранится в ebx и в edi (эти части меняются в каждом блоке, поэтому если пропустить какой-либо блок без пересчета ключей, то дальнейшая работа будет невозможной), а вторая часть ключа берется из управляющего буфера (ebp).
И периодически меняются блоки:
- jmp меняется на связку push / ret.
- ключом помимо ebx/edi могут служить другие регистры.
Если это тривиальная рутина, то почему ваш метод неявных переходов не будет тривиальным?

| Сообщение посчитали полезным:

user99

Это ведь не исходный нэйтив код, а вм. Там же нет исходных бинарных инструкций.

> Если это тривиальная рутина, то почему ваш метод неявных переходов не будет тривиальным?

Потому что не нужно заниматься задродством с девиртом. Исходные блоки не тронуты, только между собой развязаны что бы дизасм не взял. Кто же будет в крэкми реверсить вирт машину

Только ньюби могут взять хеловорд криптануть чем то, тем же вмп и разбирайтесь.. такое нафиг никому не нужно.

-----
vx

| Сообщение посчитали полезным:

Помогите понять
в конфигурационном файле установщика приложения есть следующая строка
{
"tu.license": "TAHDA-ZXAN7-V2P4E-QRHKT-HOLWG-NT2AA;eyJkYXRhX3ZlcnNpb24iOjEsInBhcmFtZXRlcnMiOnsicmV2b2NhdGlvbl9jb3VudGVyIjo2NSwiZXhwaXJhdGlvbiI6eyJ0eXBlIjoicmVsYXRpdmUiLCJ2YWx1ZSI6IjE1In19LCJsbl9oYXNoIjoiQkRGMjNDMTIxM0E0QkY3REFGMzNDNDQzNjZGMDZEQjQxN0FFRDNERCIsInNlcnZlcl9jb29raWUiOiJmaWxlZGlyLTcwNy02NSJ9O1NIQTE7ODYzNjM2ZTU7TUN3Q0ZBOTJ2dWZqZDF4dU44NkZrRFdYaHlmQ1prc1ZBaFJZdXRKWk5ISnhVZVZuMFJOSXZ5NW1sdFdrM0E9PQ=="
},
Понятно что первое после tu.license код активации а что за ним ??
хеши ?? параметры лицезии ??

| Сообщение посчитали полезным:

что-то base64 encoded. может подпись, а может и параметры.

-----
старый пень

| Сообщение посчитали полезным: