dll защищена этим протектором. (есть в наличии строки "\\.\NVKEY95.VXD" в теле dll.
При отладке OllyDbg или софтайсом оба падают или падает прога которая использует эту dll.
Дамп ключа имеется (рабочий).
вопрос как распаковать dll ?

Нужно ли искать АПИ функции Гварданта? Никак не смог найти их. (по статье inferno0)

дабы нужна подсказка в каком направлении копать и какие под собой держать инструменты

| Сообщение посчитали полезным:

у Гвардант есть апи функция "nskDeCode". но неясно какой участок кода передать той функции для дешифровки?...

| Сообщение посчитали полезным:

towa
Че за прога?

-----
Никто не знает столько, сколько не знаю я

| Сообщение посчитали полезным:

вообще по теории какая ппрога значения не имеет

| Сообщение посчитали полезным:

towa
вообще по теории какая ппрога значения не имеет
--
Как показывает жизнь одной теории не достаточно, нужна и практика.
Некоторые как роботы по шаблону ломают, шаг в лево, шаг в право, всё уже не могут.

P.S. Не всё так просто как кажется.

-----
Никто не знает столько, сколько не знаю я

| Сообщение посчитали полезным:

ну хотя бы советы. какие статьи почитать (за исключением текущего сайта) и инструментария..

| Сообщение посчитали полезным:

Satanael
твои посты флудовые на 100% -> предупреждение

Странно, раньше конверт распаковывался без проблем при наличии ключа, видать встроили какуюнить антиотладку... Попробуй плагины по скрытию ольки

Вообще я рааньше делал так:
проход на ОЕР
"тело конверта"
"расшифровщик"
"мусор" - по f4 я оказывался на этом месте, с уже расшифрованным телом ЕХЕ, дампил, прикручивал импорт и в перед

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

nice пишет:
Странно, раньше конверт распаковывался без проблем при наличии ключа, видать встроили какуюнить антиотладку...

совершенно согласен. под чутким руководством даже человек, держащий в руках отладчик второй раз в жизни, благополучно снимал конверт.

да, а кто сказал что там вообще конверт есть?

towa пишет:
Дамп ключа имеется (рабочий).

дамп памяти, или алгоритмы тоже есть?

| Сообщение посчитали полезным:

towa пишет:
но неясно какой участок кода передать той функции для дешифровки?...
Обычно(по теории - практики не имел) делают так : запускают программу с ключом и делают ее дамп. Получают прогу с расшифрованными кусками и она либо рабочая, либо там еще что-то доделывают.
Народ постоянно утверждает, что можно и без ключа конверт снять, но я не помню для каких это ключей конкретно. Если ключа нет, а есть дамп, то нужен полный эмулятор - с функцией шифровки , иначе конверт не снимется.

| Сообщение посчитали полезным:

а каком конверте идет речь? или это то же самое что и упаквощик? я правильно понял?
То что в статье infern0 сказано насчте наличия строки SAAT. (или все это ерунда по сравнением с GS 2?)

Однако дамп я снимал все равно он такой же как и на диске.

2ssx
дамп памяти, или алгоритмы тоже есть?

дамп снял с настоящего ключа (по статье infern0 на larry)

| Сообщение посчитали полезным:

забыл вам сказать самое главное: мне работоспособность программы не нужна. а только некоторый участок кода одной функции (то есть алгоритм этой функции) и не более ничего. то есть намного проще чем на самом деле!
вот!

| Сообщение посчитали полезным:

towa пишет:
а каком конверте идет речь? или это то же самое что и упаквощик?
да конверт = упаковщику

towa пишет:
участок кода одной функции (то есть алгоритм этой функции)
тогда дампь ЕХЕ, запихивай его в IDA и анализируй, она спокойно проглотит дамп

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным:

2nice

а причем тут дамп EXE? функция то в dll имеется. Вообще я говорю о взломе dll, а не exe. (хотя принципиально ничем не отличается)

| Сообщение посчитали полезным:

towa пишет:
(хотя принципиально ничем не отличается)
вот именно ;)

-----
Подписи - ЗЛО! Нужно убирать!

| Сообщение посчитали полезным: